fredag 2 april 2010

SDL version 5 släppt

Microsoft har släppt version fem av Security Development Lifecycle. Nyheter som fångade mitt intresse:
  • SDL for Agile ingår (släpptes separat i november förra året)
  • Server/SaaS designgranskning
  • Säker sessionshantering i webbapplikationer (inkl HTTPOnly-kakor)
  • Praxis för att undvika SQL-injektion (vanliga accessmetoder, access via ramverk och stored procedures)
  • Skydd mot ClickJacking
  • Fuzzing: Alla parsers som exponeras måste testas med minst 100 000 felaktiga paket/indata
  • Anti-CSRF-tokens

Steve Lipner kommer säkerligen beröra SDL-nyheterna i sin presentation på OWASP-konferensen i Stockholm i sommar.

Glad påsk på er!

Inga kommentarer: