Microsoft Security Development LifeCycle

Em um processo de desenvolvimento de software se faz necessário à verificação da qualidade do mesmo, ou seja, garantir que seu código seja flexível, reutilizável, seguro e etc. Abaixo eu irei listar algumas ferramentas que podem ser uteis na implementação de um modelo seguro de software:

Antes de mostrar as ferramentas, compartilho uma imagem que demonstra a visão do MSDL (Microsoft Security Development LifeCycle) sobre o ciclo de desenvolvimento de um software seguro:

Code Analysis: Ferramenta de análise estática de código gerenciado que é integrado com o Visual Studio, ideal para verificar se o código esta dentro dos padrões dado um ou mais regras.

Para utilizar o Code Analysis no seu projeto (VS 2010 Ultimate):
1-    Solution Explorer do seu projeto, clique com o botão direito em cima do projeto e escolha Properties.
2-    Na propriedade escolha a aba Code Analysis.
3-    Especifique o tipo de Build (Debug/Release/etc) na opção Configuration.

4-    Marque a opção Enable Code Analisys on Build.
5-    Escolha a regra que deseja utilizar no campo Run This Rule Set

Nota: Como sugestão, você pode escolher a regra Microsoft Minimum Recommended Rules.
Mais referencias:
http://blogs.msdn.com/b/codeanalysis/archive/tags/code+analysis/
http://archive.msdn.microsoft.com/codeanalysis

Code Analisys Tool (CAT.NET): Ferramenta de linha de comando e/ou plugin do Visual Studio para ajudar a análise de falhas de segurança em aplicativos web e/ou em aplicativos compilados (assemblies).  O CAT pode ser utilizado no processo de implementação do desenvolvimento de sua aplicação, ou seja junto com as ferramentas de Code Analysus, Anti-XSS, FX Corp e etc.

Itens que o CAT ajuda a identificar: XSS, Sql Injection, Process Command Injection, File Canonicalization, Exception Information, Ldap Injection, Xpath Injection, Redirection to User Controlled Site.

Utilizando o CAT em seu projeto:
1-    Abra o prompt de comando do Visual Studio e navegue até a pasta de instalação do CAT.
2-    Digite o seguinte comando “CATNetCmd64.exe /file:”sua.dll” onde o File é sua DLL.

3-    Posteriormente você poderá visualizar o relatório gerado pelo CAT.

Mais referencias:
http://msdn.microsoft.com/en-us/security/Video/gg6750097

Anti-XSS: Uma biblioteca e um modulo HTTP que podem ser adicionados a aplicação web  para evitar ataques de Cross-Site-Scripting, que é a pratica de explorar vulnerabilidades em aplicativos baseados na WEB que não validam corretamente as entradas de usuário, permitindo aos usuários mal intencionados injetarem scripts do lado do cliente em dados de resposta do servidor de sua aplicação.

Para maiores detalhes veja:
http://msdn.microsoft.com/en-us/library/aa973813.aspx

Application Verifier: Ferramenta dinâmica que verifica vazamentos de memória e recursos. Pode ser usada com código não gerenciado (escrito fora da plataforma .Net).

Para utilizar esta ferramenta siga os passos:
1-    Instale a ferramenta em seu computador.
2-    Abra a interface do Application Verifier.

3-    No file aponte para o caminho de sua aplicação.
4-    Clique em Save.
5-    Clique com o botão direito em cima de sua aplicação na área Applications.
6-    Escolha a opção Run Test.

Saiba mais:
http://msdn.microsoft.com/pt-br/library/ms220948(v=vs.90).aspx
http://technet.microsoft.com/en-us/library/bb457063.aspx

 PreFast:  Ferramenta de análise estática de código C++ que é utilizado através de linha de comando.
Mais: http://msdn.microsoft.com/en-us/library/aa449786.aspx

Safe CRT Libraries: Uma biblioteca de Runtime de C/C++ mais segura que foi incluída no Visual Studio 2005.
Veja mais: http://msdn.microsoft.com/pt-br/magazine/cc163794(en-us).aspx

Mais sobre segurança:
Microsoft Development Security LifeCycle:
http://www.microsoft.com/security/sdl/default.aspx
Developer Center (Segurança):
http://msdn.microsoft.com/pt-br/security/bb896640
Videos sobre Developer Center:
http://msdn.microsoft.com/pt-br/security/Video/gg558144