Microsoft har frigivet den længe ventede cloud-baseret bug-søgeværktøjet, der tidligere kodenavnet “Project Springfield.” Den Windows-version, som blev almindeligt tilgængelige, og en ny Linux-version blev tilgængelig som et eksempel i sidste uge.
Det værktøj, Microsoft Security Risiko for Afsløring, bruger kunstig intelligens til at jage sikkerhedshuller i software, der er ved at blive frigivet.
Microsoft Security Risiko for Opdagelse vil hjælpe udviklere med at gøre fuzz test, sagde David Molnar, Microsoft forsker i spidsen for den gruppe, der udviklede værktøj. Fuzz test, der normalt sker ved hjælp af eksterne konsulenter til at teste ny software. Dens formål er at sikre, at sårbarheder kan være luget ud, inden produktet går i bred slip for at undgå nødvendigheden af at lappe dem på bagenden.
Tjenesten bruger kunstig intelligens til at spørge “hvad nu hvis” – spørgsmål om de nye software -, med fokus på kritiske områder, der kan være sårbare over for angreb af dårlig aktører.
Microsoft har udgivet for første gang en test-version af tjenesten sidste år. Docusign, et firma, der har specialiseret sig i automatiserede elektroniske signaturer, er en af de virksomheder, der meldte sig frivilligt til at prøve det.
Værktøjet hjulpet Docusign luge ud i fejl i sin software, og næsten aldrig vendte tilbage falske positiver, ifølge John Heasman, senior direktør for software-sikkerhed i virksomheden.
Den lave sats for falske positiver er meget vigtigt, sagde han, fordi virksomhederne typisk er nødt til at bruge en masse tid på at opspore falske positiver, som bruger tid, som ellers kunne anvendes til at undersøge legitime trusler.
In-House Teknologi
Microsoft har brugt Sage, en vigtig del af den service, der siden midten af 2000’erne til test-versioner af Windows, Office og andre produkter. Flere produkt teams i virksomheden bruge service som en del af Microsoft Security Development Lifecycle.
Microsoft har planer om at tilbyde værktøj til salg senere på sommeren gennem Microsoft-Tjenester.
Forhindre Defense
Udgivelsen er meningsfulde, i henhold til Dustin Childs, communications director for zero day initiative på Trend Micro, der bemærkede, at den service, der giver udviklere adgang til security-test, som de måske ellers ikke ville bruge.
“Bugs er meget lettere at opdage i software-udvikling,” fortalte han LinuxInsider, “så udvidet test forud for frigivelsen kunne forhindre sikkerhedsmæssige problemer nede ad vejen.”
Uanset om virksomheder omfavne den service, afhænger i høj grad af, hvor mange falske positiver, de får, Childs sagde. Et andet vigtigt spørgsmål vil være den tillid spørgsmål mellem udviklere og Microsoft, der vil kunne afhænge af, hvor mange oplysninger der er fælles med udviklerne, og hvor meget der er bevaret af Microsoft.
Fra Microsoft ‘ s perspektiv, få er dobbelt, sagde Childs. Den service vil hjælpe Microsoft med at skabe et sikrere økosystem, der kører en række Windows-programmer, og give virksomheden mulighed for at vise sin cloud computing og AI kapaciteter. Tjenesten vil også indføre Azure til en stor gruppe potentielle kunder.
Sikkerhed er noget, som alle ønsker, men få er villige til at punger ud med penge for det, der er observeret Jim McGregor, ledende analytiker hos Tirias Forskning.
“IT-chefer ofte stick med sikkerhed løsninger, de er bekendt med og opgradere med budgetcyklusser,” fortalte han LinuxInsider.
Branchen sjældent arbejder sammen om at løse sikkerhedsproblemer, McGregor sagde.
True IT-sikkerheden kræver hardware og software for at være effektiv, påpegede han.
Men Microsofts løsning tager sikkerhed til et nyt niveau ved at kombinere AI og cloud-ressourcer, siger McGregor. Det løbende udnytter en bred vifte af informationer og reagerer på de nye trusler hurtigere end traditionelle løsninger.
“Det er ikke klart, hvor meget succes, vil Microsoft har med denne nye tjeneste,” sagde han, “men hver IT-chef bør være på udkig for at AI for forbedret sikkerhed.”
