時間:2017-07-26 來源:互聯網 瀏覽量:
Project Springfield後麵的團隊包括Stas Tishkin,William Blum,Marc Greisen,Chemar Omar Keita,Dave Tamasi,David Molnar(坐下),Theresa Pacheco,Marina Polishchuk,Patrice Godefroid和Ram Nagaraja。
對於許多開發人員和企業來說,發現現有軟件中潛在的安全漏洞已經成為一個非常繁雜、耗時的過程。
以往,大部分公司都會專門聘請網絡安全專家來解決這些問題,但麵對日益漸多且複雜的軟件程序,很多專家也顯得力不從心,而近日微軟發布了一個“AI安全風險檢測”工具,可以保護即時、高效地解決這些問題,保護係統免受攻擊。
該工具借助了雲的功能,在內部擴展了當前的測試協議,為開發人員提供了可能錯過的解決問題的方法。據微軟稱,如果軟件有任何問題,企業可以通過該工具來主動處理並做好應急準備。
Microsoft將其描述如下:
微軟安全風險檢測(Microsoft Security Risk Detection,以前稱為Project Springfield)是一套基於雲的工具,開發者可以利用該雲服務查找即將發布或已投入使用的軟件中的錯誤和其它安全漏洞。在軟件發布之前就找到其中漏洞,可以為企業省去軟件發布後再修複錯誤、處理崩潰或應對攻擊等一係列麻煩。
微軟研究員David Molnar所領導的團隊開發了這套風險檢測工具。Molnar表示,風險檢測服務可以作為輔助手段,幫助開發人員借助人工智能來查找安全問題,當查找出漏洞之後,開發人員可以使用其它工具來修複漏洞、降低風險或探索其它解決方案。
了解到,微軟安全風險檢測服務的特別之處在於它能發現可能觸發崩潰並引發安全隱患的因素。每次運行時,它都會重點關注最為關鍵的區域,以尋找其它未采用智能方法的工具可能會忽視的漏洞。
Molnar表示,這套工具非常適合獨立開發軟件、修改現成軟件或使用開源產品許可證的企業。
DocuSign公司是一家幫助用戶以電子方式而不再以紙筆方式簽署文件的公司。他們參加了2016年秋季發布的Windows版風險檢測服務的小範圍試用。DocuSign軟件安全高級總監John Heasman表示,這套工具幫助他們識別出了其它方式可能無法發現的潛在錯誤。
“這類解決方案很少有這麼低的誤報率。”Heasman說。
Heasman表示,DocuSign使用微軟安全風險檢測工具來查找已購買或獲得許可的軟件中的錯誤和漏洞,公司希望通過將這套工具整合到一款用於處理用戶上傳文檔的軟件中,來檢測文檔中可能包含的惡意內容,並且可以主動發現問題、避免潛在的攻擊。
Molnar表示,事實證明微軟安全風險檢測工具能夠極大地幫助那些正在經曆大規模數字化轉型的公司,以及幫助那些將新技術納入到以往純憑手工完成或僅使用初級技術的業務流程中。
他指出,這些公司的員工可能是各自核心業務領域內的世界級專家——無論是釀造啤酒還是出售冰淇淋,但他們未必有專職人員對即將使用的新軟件進行複雜的安全測試。
自本世紀前十幾年的中期以來,微軟自身一直都在使用微軟安全風險檢測服務中的一個關鍵組件——SAGE,它已用於檢測多個版本的Windows、Office和其他微軟產品中的錯誤和漏洞。不僅如此,微軟多個產品團隊目前也都在使用該風險檢測工具,並將其作為微軟安全開發生命周期的一部分。
微軟安全風險檢測服務捆綁了SAGE以及其他模糊檢測工具,擁有友好的用戶界麵及其他工具,且目前在微軟Azure雲中運行。
了解到,Microsoft將在今年夏末通過Microsoft Services開始提供該服務,並將與其他“模糊工具”捆綁在一起,包括Microsoft的SAGE風險檢測工具。有興趣的開發人員可以在網站上注冊Windows或新的Microsoft安全風險檢測的Linux預覽。
via blogs.microsoft.編譯