Корпоративные клиенты Microsoft вскоре смогут использовать службу фаззинга, размещенную в Azure, для выявления ошибок в своих приложениях для Windows и Linux.
Microsoft представила новый инструмент для поиска ошибок, получившее название Microsoft Security Risk Detection, созданное, чтобы помочь клиентам находить и устранять ошибки до того, как ими смогут воспользоваться злоумышленники.
Инструмент, позволяющий проводить так называемое нечеткое тестирование, уже более десяти лет разрабатывается в Microsoft Research под названием Project Springfield. Фазз-тестирование приложения основано на передаче в программу множества типов данных, чтобы дестабилизировать ее и выявить потенциально уязвимые ошибки. Microsoft использовала эту технологию для поиска критических ошибок в Windows и Office перед выпуском для них обновлений.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Однако в наши дни все организации в той или иной степени являются производителями программного обеспечения, и Microsoft Security Risk Функция обнаружения предназначена для предоставления тех же возможностей клиентам, которые создают системы на базе Windows. Приложения.
Раньше эта технология была доступна для выбора клиентов и партнеров, но в прошлом году Microsoft заявила о своем намерении сделать Springfield продуктом и предоставила приложению, размещенному в Azure, более широкое распространение в рамках программы предварительной версии.
Службу Azure можно будет приобрести через Microsoft Services этим летом; однако Microsoft не раскрыла цены.
«Этот инструмент предназначен для обнаружения уязвимостей до того, как программное обеспечение выйдет за пределы, что избавляет компании от необходимости душевная боль от необходимости исправлять ошибку, устранять сбои или реагировать на атаку после того, как она была выпущена». Майкрософт сказал в блогпосте.
Компания также запустила предварительную программу для нечеткого тестирования приложений Linux.
Google, главный сторонник нечеткого тестирования, недавно выпустила инструмент фазз-тестирования под названием OSS-Fuzz, который помогает обнаруживать недостатки в программном обеспечении с открытым исходным кодом. В мае это похвастался, что инструмент обнаружил более 1000 ошибок всего за пять месяцев. Это помогло устранить различные ошибки памяти и другие ошибки в таких проектах, как LibreOffice, SQLite и OpenSSL.
Microsoft утверждает, что ее платный сервис фаззинга Azure использует уникальный искусственный интеллект для выявления ошибок, предлагая сценарии «что если», чтобы сузить круг возможных виновников критической ошибки безопасности. Его можно использовать для проверки программного обеспечения, разработанного заказчиком, модифицированного стандартного программного обеспечения или программного обеспечения с открытым исходным кодом.
Чтобы использовать эту службу, клиенты устанавливают свое приложение на виртуальную машину, размещенную в Azure. Microsoft предоставляет различные фаззеры для тестирования кода клиента и выявления ошибок, которые клиент затем приступает к исправлению. Майкрософт примечания Службу можно использовать для проверки безопасности веб-сайта, однако фаззеры не предназначены для выявления распространенных недостатков веб-приложений, таких как межсайтовый скриптинг.
Узнайте больше о безопасности Windows
- В протоколах безопасности Windows обнаружены уязвимости
- Windows 10 Fall Creators Update: что будет в сфере безопасности
- Windows 10: новая версия Insider Preview от Microsoft оснащена функциями безопасности
- Синий экран смерти спас Windows XP от программы-вымогателя WannaCry, говорят исследователи безопасности
- Несмотря на риски безопасности, старые версии Windows мешают тысячам предприятий.
- Windows 10 добавляет комплексную безопасность в обновление Fall Creators Update (Техреспублик)