0
Microsoft ha presentato un nuovo caccia di bug strumento, soprannominato Microsoft Security di Rilevazione del Rischio, che è costruito per aiutare i clienti a trovare ed eliminare i bug prima di attaccanti in grado di cogliere su di loro.
Lo strumento, che consente la cosiddetta fuzz testing, è stato in sviluppo per oltre un decennio a Microsoft di Ricerca nell’ambito del “Progetto di Springfield” monicker. Fuzz-test di un’applicazione che si basa sulla generazione di numerosi tipi di dati a destabilizzare un programma e di superficie potenzialmente sfruttabili bug. Microsoft ha utilizzato la tecnologia per trovare bug in Windows e Office prima di rilasciare gli aggiornamenti.
In questi giorni, anche se tutte le organizzazioni sono in gradi diversi produttori di software e di Sicurezza di Microsoft di Rilevazione del Rischio è progettato per estendere le stesse possibilità ai propri clienti di costruire applicazioni basate su Windows.
In precedenza, la tecnologia era disponibile per selezionare i clienti e i partner, ma l’anno scorso Microsoft segnalato la sua intenzione di Springfield un prodotto e ha dato l’Azzurro-hosted app più ampia esposizione di un programma di anteprima.
L’Azzurro del servizio sarà disponibile per l’acquisto attraverso i Servizi Microsoft questa estate, tuttavia Microsoft non ha rivelato i prezzi.
“Lo strumento è stato progettato per catturare le vulnerabilità prima che il software va fuori dalla porta, facendo risparmiare alle aziende l’angoscia di dover patch per un bug, si occupano di crash o di rispondere a un attacco dopo che è stato rilasciato,” Microsoft ha detto in un blogpost.
La società ha anche lanciato un programma di anteprima per fuzz testing di applicazioni Linux.
Google, un importante avvocato di fuzz-test, ha pubblicato di recente un fuzz-strumento di test chiamato OSS-Fuzz per aiutare a scoprire i difetti nel software open source. In Maggio si vantava lo strumento aveva scoperto più di 1.000 bug in soli cinque mesi. Ha contribuito a eliminare una varietà di memoria e altri bug da progetti come LibreOffice, SQLite, e OpenSSL.
Microsoft sostiene versato per Azure fuzzing servizio in modo univoco utilizza l’intelligenza artificiale per identificare i bug ponendo scenari “what if” per restringere probabili colpevoli per una critica bug di sicurezza. Può essere utilizzato per la sonda di un cliente, software sviluppato internamente, modificato off-the-shelf software open source o software.
Per utilizzare il servizio, i clienti dovrebbero installare le app su Azzurro-hosted virtual machine. Microsoft fornisce diversi fuzzers per testare il codice cliente e identificare i bug, di cui il cliente sarebbe quindi di fissaggio. Microsoft note il servizio può essere utilizzato anche per testare la sicurezza del sito, tuttavia il fuzzers non sono stati progettati per identificare comune applicazione web difetti, come il cross-site scripting.
0