Sicurezza Microsoft, la responsabilità dei difetti sarà dei singoli programmatori

Nel mettere a punto la nuova versione di Windows Server 2003, l’azienda chiederà a chi ha sviluppato codice di apporre la propria firma sulla porzione. Sarebbe questa la via scelta per ridurre il numero di bug preventivabili nell’Os, nell’ambito dell’iniziativa Trustworthy Computing.

28 gennaio 2003 Microsoft preme sull’acceleratore dell’iniziativa Trustworthy Computing mentre vengono dati gli ultimi ritocchi a Windows Server 2003, il prodotto che molti considerano cruciale per verificare la bontà delle intenzioni di Redmondo nei confronti di un’informatica più sicura e quindi “degna di fiducia”. Il nuovo server, previsto per il prossimo aprile, sarà il primo prodotto progettato e costruito da Microsoft dopo il varo dell’iniziativa e in quanto tale viene considerato da molti un prezioso indicatore sul successo di questo sforzo.

Il responsabile delle strategie per la sicurezza di Microsoft, Scott Charney, ammette: «Se al momento del lancio Windows Server 2003 conterrà gli errori che altri prodotti hanno avuto in passato, saranno in molti a pensare che Microsoft non è in grado di farcela neppure quando dice di impegnare tutte le proprie risorse. E’ anche una questione di fede: non sarebbe bello scoprire eventuali vulnerabilità in tempi brevi». Tutti gli sviluppatori di Microsoft hanno partecipato a una sessione di formazione sulla sicurezza e di conseguenza l’azienda ha deciso di cominciare a considerare i programmatori responsabili di tali vulnerabilità del codice.

Nel quadro di questa decisione ciascun programmatore sarà tenuto ad apporre la propria firma sulla porzione del codice sviluppato, in modo che i difetti possano essere fatti risalire alle persone giuste. «Vogliamo ridefinire il ruolo del programmatore su un livello più elevato – prosegue Charney -. Se scopriamo una vulnerabilità, vogliamo poter identificare l’individuo responsabile di quella parte di codice. Qualora dovesse risultare che quella persona ha seguito un corso di formazione e continua a scrivere del codice inadeguato, potremo prendere gli opportuni provvedimenti».

Microsoft continua inoltre a sviluppare un sistema di classificazione interna della sicurezza di ciascuna applicazione e sta pensando di allestire specifici corsi di formazione online. In uno scenario di questo tipo il programmatore impegnato a valutare un software dovrà rispondere a una serie di domande sulle procedure di sicurezza e se queste non sono state implementate correttamente verrà istruito in modo più dettagliato al proposito.

L’iniziativa Trustworthy Computing si rivolge in larga misura anche alle questioni della privacy. Alla fine di marzo l’attuale responsabile Richard Purcell, “Chief privacy officer” di Microsoft, lascerà l’azienda e il suo ruolo verrà ricoperto dallo stesso Charney che diventerà così supervisore di entrambi gli aspetti della campagna. «Abbiamo tutte le intenzioni di adottare una politica di trasparenza per ciascun prodotto che spieghi in modo molto chiaro quali dati vengono raccolti e perché e come vengono utilizzati – afferma Charney -. Il successo o il fallimento di Trustworthy Computing potrebbero avere un forte impatto sull’immagine di Microsoft negli anni a venire. Se saremo in grado farcela, il “ponte di fiducia” verso i nostri clienti sarà il più forte e duraturo di ogni altro».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome