Redmond (USA) – Dopo oltre 25 anni di incessante sviluppo di software, un lavoro che ha generato fiumi di linee di codice, Microsoft si prende una pausa.
Non si tratta né di una vacanza né di una crisi mistica, ma a qualcuno quest’ultimo caso potrebbe forse sembrare il meno improbabile per spiegare quel netto e deciso cambio di rotta che Microsoft ha da qualche tempo messo in atto nel campo della sicurezza.
Quando Bill Gates, poche settimane fa, espose il suo nuovo modello di sviluppo del software battezzato Trustworthy Computing (computing fidato, sicuro), esortò il suo staff di sviluppatori, tester e tecnici, a dare la massima priorità alla sicurezza rispetto all’aggiunta di nuove funzionalità. Un concetto che Gates sembra ora voler applicare in modo retroattivo a buona parte del software sviluppato di recente.
“A partire da Gennaio – ha spiegato a Punto Informatico Marco Agnoli, responsabile delle attività di sicurezza di Microsoft Italia -, all’interno della Secure Windows Initiative e sotto la supervisione di Brian Valentine e Jim Allchin, la divisione di Windows ha effettuato a tutti i propri componenti una serie di training sulla scrittura di codice sicuro, ed ora sta realizzando una “code review” (revisione del codice) dei prodotti Windows, sia server che client. Lo stesso è stato deciso per la divisione .NET e per quella di Office”.
Con l’operazione “codice pulito”, come potrebbe ben chiamarsi questa nuova e, per certi versi drastica, iniziativa di Microsoft, verranno passate al setaccio milioni e milioni di linee di codice alla ricerca di bug e vulnerabilità di sicurezza.
Un’operazione simile venne avviata dal big di Redmond già a partire dallo scorso ottobre, in occasione dell’inaugurazione dello Strategic Technology Protection Program . All’epoca, infatti, Brian Valentine, il vice presidente della divisione Windows di Microsoft, spiegò che in previsione dell’arrivo (che Valentine fissò per questo mese) del Service Pack 3 per Windows 2000, Microsoft avrebbe eseguito “una dettagliata revisione, a livello di codice, di tutte le componenti di Windows 2000 più sensibili alla sicurezza”, specificando inoltre che per lo scopo sarebbe stato utilizzato un “avanzato strumento software” sviluppato dalla stessa Microsoft. Valentine precisò anche che tutte le patch relative alle vulnerabilità scovate durante la revisione del codice di Windows 2000 sarebbero state integrate nel terzo service pack.
Un portavoce americano di Microsoft sostiene che queste revisioni potrebbero tradursi, per le divisioni coinvolte nell’operazione, in una sospensione di circa un mese delle attività di sviluppo di nuovo codice. Una pausa che, secondo alcuni analisti, causerà lo slittamento a catena di tutti i progetti di sviluppo di Microsoft, fra cui anche l’atteso Service Pack 1 per Windows XP. Il big di Redmond sembra infatti intenzionato a seguire la strada già percorsa con Windows 2000 ed includere, nel megapacco destinato a XP, tutte le correzioni alle falle di sicurezza che verranno scoperte durante l’attuale revisione del codice del sistema operativo.
Il prossimo passo previsto nelle strategie di sicurezza di Microsoft, e atteso per questa estate, sarà quello di rilasciare la tecnologia “Federated Corporate Windows Update”, che fornirà agli amministratori di rete la possibilità di creare all’interno delle proprie intranet dei piccoli “cloni” locali e personalizzabili di Windows Update da cui fornire ai propri utenti un selezionato insieme di fix e patch.
La prima priorità di Microsoft è ora quella di dare credibilità a quella piattaforma, .NET, su cui ha scommesso il proprio futuro. Per far questo deve necessariamente irrobustire quell’attuale base di software che presto andrà a formare i tanti pezzi di quel mastodontico mosaico rappresentato dall’infrastruttura di .NET.
Ma in Rete, come tradizione, c’è chi non perde occasione per sbeffeggiare il big di Redmond: collegandosi al link TrustworthyComputing.com, infatti, i visitatori vengono rediretti verso una pagina di Google che mostra, attraverso la chiave di ricerca “microsoft security OR privacy flaw OR flaws OR hole OR holes”, decine di migliaia di link relativi a quella storia di Microsoft che Bill Gates sta cercando, ora più che mai, di lasciarsi definitivamente alle spalle.
Ti potrebbe interessare
8 feb 2002