Categories: Cloud

Développement : la méthode SDL de Microsoft à l’épreuve des faits

La méthodologie de développement sécurisée SDL (Security Development Lifecycle), Microsoft en a fait un de ses sujets phares depuis 2004. La firme édite aujourd’hui un rapport qui fait le point sur l’impact de cette approche, note Silicon.fr.

Premier enseignement tiré de cette étude : le nombre de failles non corrigées est en nette baisse chez les éditeurs de logiciels.

Chez Microsoft, il reste globalement stable du côté des systèmes d’exploitation et en légère hausse pour les différentes versions d’Internet Explorer (à cause notamment de l’arrêt du support d’IE5.5 et celui annoncé d’IE6). Nous remarquons que les failles les plus faciles à exploiter sont dorénavant découvertes en moins grand nombre que précédemment.

Microsoft fait également le tour des technologies de renforcement de la sécurité, présentes dans chacun de ses systèmes d’exploitation, et de leur utilisation par les éditeurs de logiciels. Le mécanisme de protection DEP (Data Execution Prevention) est disponible depuis Windows XP SP2. Il permet d’éviter que les données puissent être exécutées (une voie souvent utilisée par les pirates).

Très efficace, le DEP n’est pourtant utilisé que dans 71% des logiciels. Développeurs, n’oubliez pas le flag /NXCOMPAT lors de la compilation de votre code !

L’ASLR (Address Space Layout Randomization) permet de mélanger l’espace mémoire attribué à une application, ce qui rend les débordements de tampon très difficiles à exploiter.

Disponible depuis Vista, cette technologie est aujourd’hui active dans 100% des navigateurs Web, mais seulement dans 80,4% des applications (et la plupart du temps partiellement). L’utilisation du flag /DYNAMICBASE lors de la compilation permettrait pourtant d’activer cette fonctionnalité.

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 mois ago