微軟推出一種基于云的工具,用AI檢測(cè)軟件安全風(fēng)險(xiǎn)

責(zé)任編輯:editor004

作者:張棟

2017-07-26 12:06:56

摘自:雷鋒網(wǎng)

對(duì)于許多開發(fā)人員和企業(yè)來說,發(fā)現(xiàn)現(xiàn)有軟件中潛在的安全漏洞已經(jīng)成為一個(gè)非常繁雜、耗時(shí)的過程。微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)捆綁了SAGE以及其他模糊檢測(cè)工具,擁有友好的用戶界面及其他工具,且目前在微軟Azure云中運(yùn)行。

微軟推出一種基于云的工具,用AI檢測(cè)軟件安全風(fēng)險(xiǎn)

Project Springfield后面的團(tuán)隊(duì)包括Stas Tishkin,William Blum,Marc Greisen,Chemar Omar Keita,Dave Tamasi,David Molnar(坐下),Theresa Pacheco,Marina Polishchuk,Patrice Godefroid和Ram Nagaraja。

對(duì)于許多開發(fā)人員和企業(yè)來說,發(fā)現(xiàn)現(xiàn)有軟件中潛在的安全漏洞已經(jīng)成為一個(gè)非常繁雜、耗時(shí)的過程。

以往,大部分公司都會(huì)專門聘請(qǐng)網(wǎng)絡(luò)安全專家來解決這些問題,但面對(duì)日益漸多且復(fù)雜的軟件程序,很多專家也顯得力不從心。而近日,微軟發(fā)布了一個(gè)“AI安全風(fēng)險(xiǎn)檢測(cè)”工具,可以即時(shí)、高效地解決這些問題,保護(hù)系統(tǒng)免受攻擊。

該工具借助了云的功能,在內(nèi)部擴(kuò)展了當(dāng)前的測(cè)試協(xié)議,為開發(fā)人員提供可能錯(cuò)過的解決問題的方法。據(jù)微軟稱,如果軟件有任何問題,企業(yè)可以通過該工具來主動(dòng)處理并做好應(yīng)急準(zhǔn)備。

Microsoft將其描述如下:

微軟安全風(fēng)險(xiǎn)檢測(cè)(Microsoft Security Risk Detection,以前稱為Project Springfield)是一套基于云的工具,開發(fā)者可以利用該云服務(wù)查找即將發(fā)布或已投入使用的軟件中的錯(cuò)誤和其它安全漏洞。在軟件發(fā)布之前就找到其中漏洞,可以為企業(yè)省去軟件發(fā)布后再修復(fù)錯(cuò)誤、處理崩潰或應(yīng)對(duì)攻擊等一系列麻煩。

微軟研究員David Molnar所領(lǐng)導(dǎo)的團(tuán)隊(duì)開發(fā)了這套風(fēng)險(xiǎn)檢測(cè)工具。Molnar表示,風(fēng)險(xiǎn)檢測(cè)服務(wù)可以作為輔助手段,幫助開發(fā)人員借助人工智能來查找安全問題,當(dāng)查找出漏洞之后,開發(fā)人員可以使用其它工具來修復(fù)漏洞、降低風(fēng)險(xiǎn)或探索其它解決方案。

微軟推出一種基于云的工具,用AI檢測(cè)軟件安全風(fēng)險(xiǎn)

David Molnar領(lǐng)導(dǎo)組織提供Microsoft安全風(fēng)險(xiǎn)檢測(cè)。

雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))了解到,微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)的特別之處在于它能發(fā)現(xiàn)可能觸發(fā)崩潰并引發(fā)安全隱患的因素。每次運(yùn)行時(shí),它都會(huì)重點(diǎn)關(guān)注最為關(guān)鍵的區(qū)域,以尋找其它未采用智能方法的工具可能會(huì)忽視的漏洞。

Molnar表示,這套工具非常適合獨(dú)立開發(fā)軟件、修改現(xiàn)成軟件或使用開源產(chǎn)品許可證的企業(yè)。

DocuSign公司是一家?guī)椭脩粢噪娮臃绞蕉辉僖约埞P方式簽署文件的公司。他們參加了2016年秋季發(fā)布的Windows版風(fēng)險(xiǎn)檢測(cè)服務(wù)的小范圍試用。DocuSign軟件安全高級(jí)總監(jiān)John Heasman表示,這套工具幫助他們識(shí)別出了其它方式可能無法發(fā)現(xiàn)的潛在錯(cuò)誤。

“這類解決方案很少有這么低的誤報(bào)率。”Heasman說。

Heasman表示,DocuSign使用微軟安全風(fēng)險(xiǎn)檢測(cè)工具來查找已購(gòu)買或獲得許可的軟件中的錯(cuò)誤和漏洞,公司希望通過將這套工具整合到一款用于處理用戶上傳文檔的軟件中,來檢測(cè)文檔中可能包含的惡意內(nèi)容,并且可以主動(dòng)發(fā)現(xiàn)問題、避免潛在的攻擊。

Molnar說,事實(shí)證明微軟安全風(fēng)險(xiǎn)檢測(cè)工具能夠極大地幫助那些正在經(jīng)歷大規(guī)模數(shù)字化轉(zhuǎn)型的公司,以及幫助那些將新技術(shù)納入到以往純憑手工完成或僅使用初級(jí)技術(shù)的業(yè)務(wù)流程中。

他指出,這些公司的員工可能是各自核心業(yè)務(wù)領(lǐng)域內(nèi)的世界級(jí)專家——無論是釀造啤酒還是出售冰淇淋,但他們未必有專職人員對(duì)即將使用的新軟件進(jìn)行復(fù)雜的安全測(cè)試。

據(jù)了解,一直以來,微軟都在使用微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)中的一個(gè)關(guān)鍵組件——SAGE,它已用于檢測(cè)多個(gè)版本的Windows、Office和其他微軟產(chǎn)品中的錯(cuò)誤和漏洞。不僅如此,微軟多個(gè)產(chǎn)品團(tuán)隊(duì)目前也都在使用該風(fēng)險(xiǎn)檢測(cè)工具,并將其作為微軟安全開發(fā)生命周期的一部分。

微軟安全風(fēng)險(xiǎn)檢測(cè)服務(wù)捆綁了SAGE以及其他模糊檢測(cè)工具,擁有友好的用戶界面及其他工具,且目前在微軟Azure云中運(yùn)行。

雷鋒網(wǎng)了解到,Microsoft將在今年夏末通過Microsoft Services開始提供該服務(wù),并將與其他“模糊工具”捆綁在一起,包括Microsoft的SAGE風(fēng)險(xiǎn)檢測(cè)工具。有興趣的開發(fā)人員可以在網(wǎng)站上注冊(cè)Windows或新的Microsoft安全風(fēng)險(xiǎn)檢測(cè)的Linux預(yù)覽。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)