Microsoft 已经将 Project Springfield 作为 Azure 服务预览,称为 Microsoft 安全风险检测( Microsoft Security Risk Detection,MSRD ),用于检测 Windows 和 Linux 应用程序中的代码错误和安全漏洞。
虽然 Microsoft 宣称 MSRD 是代码安全漏洞探测器,但也可以用于发现 Bug 。它通过人工智能找出程序崩溃的原因,可能是安全问题或代码中出现了 Bug 。自 2000 年中期以来,Microsoft 一直在 Windows、Office 和其他软件上使用了该服务的部分功能。该工具也被应用在 Microsoft 安全开发生命周期( Microsoft Security Development Lifecycle )流程中,该流程建议至少对那些将数据分析器暴露给不受信数据的表面攻击进行测试。
Microsoft 为希望运行 MSRD 的用户提供了一个虚拟机,用户可以上传被测试的应用程序二进制包和输入数据种子文件。MSRD 使用基于所提供的数据种子文件对程序进行模糊的白盒测试,并报告潜在的漏洞,向开发人员提供重现问题的信息。(关于 Fuzzing Basics 更多的信息,请参见此文档页面。)
MSRD 可用于网站代码的模糊测试,但有一些限制,例如无法发现跨站点脚本或请求伪造漏洞。此外,它可以用于托管代码和 Azure 应用程序,但对于后一种情况,该服务将无法访问其他 Azure 服务,因为它通常发生在云应用程序中。
该服务目前可以支持 在 Windows Server 2008 R2 和 Red Hat Linux 上运行的应用程序,其中对 Linux 的支持还处在预览版阶段。Microsoft 正努力增加对 Windows 10 和 Windows Server 2016 的支持。Microsoft 计划在今年秋季之后通过 Microsoft Services 提供安全风险检测工具。
查看英文原文: Microsoft Previews Bug and Security Risk Detection on Windows and Linux
感谢薛命灯对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们。
评论