Leder for Microsofts sikkerhetsprogram, David Ladd, forteller i et internintervju at programvareutviklere i liten grad prioriterer sikkerhet i programvaren. Han viser til den sjuende utgaven av Microsofts Security Intelligence Report, som forteller at bare 5 prosent av alle sårbarheter var i Microsofts produkter, 14 prosent var i ulike nettlesere, mens de resterende 81 prosent var i andre typer applikasjoner fra andre leverandører enn Microsoft.

- Sikkerhet er ikke noe applikasjonsutviklere har prioritert i det siste. Deres fokus har vært å få et produkt, som er konkurransedyktig når det gjelder funksjonalitet, så raskt som mulig på markedet. Dette er ikke en kritikk, det er bare en faktor i kommersiell prioritering, sier Ladd.

Ladd mener at nøling innen utviklerfellesskapet om å ta i bruk en sikrere utviklingspraksis, ikke skyldes mangel på lyst.

- Det fleste programvareutviklere ønsker å skrive sikrere kode. Men mange vet ikke hvor de skal starte, eller antar at sikkerhet betyr økte kostnader eller forlengede utviklingssykluser, sier han.

Microsofts programvare har utvilsomt blitt mer sikker siden 2002, da selskapet opprettet sin Trustworthy Computing-gruppe (TwC), som en følge av de voldsomme «stormene» som ble skapt ormer som Nimda og Code Red i 2001.

Blant TwCs oppgaver var å sørge for en sikkerhetskultur på tvers av selskapets utviklingsvirksomhet. TwC tok også ansvar for sikkerhetsprosessen Security Development Lifecycle (SDL), som ble designet for å redusere antallet og alvorlighetsgraden i programvaren. Denne ble obligatorisk for alle Microsoft-produkter i 2004.

Microsoft mener at hele programvarebransjen kan dra nytte av erfaringene selskapet har gjort i denne prosessen.

- Å skrive kode uten sårbarheter er ikke mulig. Vi har fortsatt masse arbeid å gjøre, og angripere vil fortsatt representere en trussel. Men vår erfaring er unik blant programvareutviklere, hevder Ladd.

- I løpet av de siste ni årene har vi lært på den harde måten hvordan man utvikler mer sikker kode. Vi mener at SDL-prosessen er en beste praksis i bransjen, sier han.

I stedet for å holde erfaringene med SDL for seg selv, vil Microsoft nå dele disse med andre.

- Et helt utviklerfellesskap som skaper kode med færre sårbarheter er ikke bedre bare for Microsoft, men for alle, sier Ladd.

Microsoft nye tilbud omfatter både dokumentasjon og verktøy som skal hjelpe utviklergrupper, gjerne med en størrelse på 8-10 deltakere eller flere, til å ta i bruk SDL. Denne metodikken skal i utgangpunktet ikke være begrenset til Windows-utvikling, selv om flere av vektøyene er det.

Mer informasjon om Microsoft SDL og hva Microsoft nå tilbyr, finnes på denne siden.