0
Microsoft har løftet sløret for en ny bug jagt værktøj, døbt Microsoft Security Risiko for Afsløring, der er bygget til at hjælpe kunder med at finde og eliminere fejl, før angriberne kan gribe om dem.
Det værktøj, som gør det muligt for såkaldte fuzz test, har været under udvikling i over et årti på Microsoft Research under “Projekt Springfield” monicker. Fuzz-prøvning af en ansøgning beror på at smide mange typer af data til at destabilisere et program og overflade, der kan udnyttes fejl. Microsoft har anvendt teknologi til at finde kritiske fejl i Windows og Office, før frigive opdateringer.
I disse dage om alle de organisationer, der er varierende grader af software beslutningstagere og Microsoft Security Risikoen for Afsløring er designet til at udvide de samme egenskaber til sine kunder, at bygge Windows-baserede programmer.
Tidligere har den teknologi, der var til rådighed at vælge kunder og partnere, men de sidste år har Microsoft signaleret sin hensigt om at gøre Springfield et produkt, og gav Azure-vært app bredere eksponering under et program til eksempelvisning.
Azure-tjeneste vil være tilgængelig for køb gennem Microsoft-Tjenester denne sommer, men Microsoft har endnu ikke afsløret prissætning.
“Værktøjet er designet til at fange de sårbarheder, før softwaren går ud af døren, sparer virksomheder hjertesorg for at skulle lappe en fejl, håndtere nedbrud eller reagere på et angreb, efter at det er blevet frigivet,” sagde Microsoft i et blogindlæg.
Virksomheden har også lanceret en preview program for fuzz-test Linux-applikationer.
Google, en stor fortaler for fuzz-test, for nylig udgivet en fuzz-test værktøj kaldet OSS-Fuzz at hjælpe med at opdage fejl i open source software. I Maj det pralede af havde fundet over 1000 fejl i blot fem måneder. Det hjalp med at luge ud i en bred vifte af hukommelse og andre bugs fra projekter som LibreOffice, SQLite, og OpenSSL.
Microsoft hævder, at deres betalte Azure fuzzing service unikt bruger kunstig intelligens til at identificere fejl ved at stille “hvad nu hvis” – scenarier for at indsnævre sandsynlige syndere for en kritisk sikkerhed fejl. Det kan bruges til at undersøge kundens internt udviklet software, der er ændret off-the-shelf software eller open source software.
At bruge den service, kunderne vil installere deres app på en Azure-vært virtuelle maskine. Microsoft giver forskellige fuzzers for at teste kundens kode og identificere fejl, som kunden vil derefter indstille om fastsættelse. Microsoft bemærker, at den service kan bruges til at teste hjemmesiden sikkerhed, men fuzzers er ikke designet til at identificere fælles web-applikation fejl såsom cross-site scripting.
0