(Säkerhet24/San Francisco) den stora konferensen för säker programutveckling, Security Development Conference 2013, i San Francisco aviserar Microsoft att företaget stöder den nya standarden ISO 27034-1. Standarden har bara funnits i 18 månader, men Microsoft ger ändå sitt helhjärtade stöd.
– Det har länge funnits ett behov hos cio:er av en standard för säker programutveckling och vi anser att den nya ISO-standarden är ett flexibelt sätt att förbättra säkerheten i koden, säger Scott Charney, som är chef för programmet Thrustworthy Computing på Microsoft.
Han framhåller att den nya standarden kan användas även av mindre programleverantörer.
– Standarden är inte enbart till för multinationella företag. Även små programutvecklare kan använda den.

Förhoppningen är att den nya standarden snabbt blir den etablerade, men ännu finns ingen struktur med tredjepartsföretag för att certifiera enligt ISO 27034-1. I dagsläget är det oklart hur många av de etablerade programleverantörerna som stöder standarden. Mycket återstår alltså innan det blir en verklig internationell standard.

Enligt Steve Lipner, som är veteran på säkerhet inom Microsoft, visar undersökningar att endast 37 procent av världens it-proffs anser att deras organisationer utvecklar program och tjänster med säkerhet i åtanke. Samma undersökning visar att 61 procent av utvecklarna inte drar nytta av säkerhetsverktyg som redan existerar.
Orsakerna till det här är brist på stöd från ledningar, brist på utbildning och kostnader.
– I det läget är det dags att går fram med en branschgemensam standard. Från och med nu kan cio:er fråga efter ISO 27034-1 när de kräver säkra program, säger Steve Lipner.

En av fördelarna med den nya standarden är att den definierar ett ledningssystem för säker programutveckling.
– Fördelen är att den kan användas på många olika typer av programutveckling.
Han framhåller också att ISO-standarden inte står i motsättning till Common Criteria-standarden.
– De fyller olika behov och vi stöder dem båda.

Microsoft som i många är brottats med säkerhetsproblem och buggar i sina program arbetar internt med programmet som heter Secure Development Lifecycle, SDL. Programmet började 2004 och är inne på sin sjätte version. Företaget kan visa på klara förbättringar när det gäller säkerheten i Windowsklienterna som en följd av säkerhetsprogrammet.