Jusqu'à présent disponible sous licence Microsoft, la documentation SDL (Security Development Lifecycle) ne pouvait pas être reproduite, même partiellement, sans une autorisation écrite de la société. Désormais, les développeurs souhaitant s'inspirer de cette méthodologie peuvent accéder à son contenu, le copier, le transmettre et l'insérer dans leur propre documentation dans les limites de ce qu'autorise la licence Creative Commons.
La méthodologie SDL prônée par l'éditeur vise à introduire plus de rigueur dans le développement des logiciels pour détecter les risques de vulnérabilités « le plus tôt possible dans le cycle de développement », explique-t-il sur son site msdn. Schématiquement, il suggère notamment de mettre en place des processus répétitifs, de former les développeurs et d'adopter « des éléments de mesure et de transparence ».
Les deux premiers documents dans quelques semaines
En facilitant l'accès à sa documentation SDL, Microsoft espère convertir davantage de monde à ses bonnes pratiques, indique David Ladd (photo ci-dessus), responsable du programme de sécurité de l'équipe SDL. En revanche, le changement de licence ne s'étend pas aux différents outils d'automatisation SDL (modèles pour le développement Agile, analyseur de code C/C++, bibliothèque pour limiter l'utilisation des contrôles ActiveX ou encore pour réduire les risques d'attaques XSS dans les applications web, etc.).
Microsoft prévoit de livrer dans quelques semaines ses deux premiers documents (en anglais) sous licence Creative Commons. Il s'agit du livre blanc présentant la mise en oeuvre simplifiée de la méthode SDL et d'un texte illustrant la façon dont l'éditeur l'applique lui-même à ses propres produits et services.
Selon David Ladd, « cela prendra du temps de modifier la licence des autres documentations SDL ». Il promet que les développeurs seront tenus informés de l'avancement des choses.
Sécurité : Microsoft passe sous Creative Commons sa documentation SDL
Microsoft espère amener davantage de développeurs à adopter ses bonnes pratiques de sécurité dans la conception des logiciels.