あれ？MSさんってSDLの色々をちゃんと開発者に手順や技術の公開してたっけ？！

マイクロソフトは数年に亘り “悪用を緩和する” ことの実効性を謳い、導入を推進してきました。例えば DEP や ASLR、/GS などの緩和技術としてマイクロソフト製品に実装したり、Security Development Lifecycle (SDL) としてセキュリティに重点を置いた開発プロセスを採用したりしています。これにより、攻撃者による脆弱性の悪用を困難かつコストの高いものにします。
今回ホワイトペーパーを公開した理由は、SDL に基づく製品開発の概念がなかなかソフトウェア開発者に浸透していないことや、マイクロソフトで提供している “緩和技術” の導入が、互換性やパフォーマンス等の理由から企業管理者にとって容易でないことを受け、この状況を変えたいという想いからガイダンスを公開したと SRD ブログ (英語情報) で述べています。
ホワイトペーパーをダウンロードして見てみると、内容は、各緩和技術の詳細説明、導入時の注意事項、マイクロソフト製品における各緩和技術の実装状況 (マトリクス)、最後に、開発者や企業管理者、個人ユーザーが取れる対策についてまとめられています。

新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って？ – 日本のセキュリティチーム