Microsoft har sluppet sin lenge etterlengtede cloud-basert bug detection tool, tidligere kodenavnet “Project Springfield.” Windows-versjonen ble generelt tilgjengelig, og en ny Linux-versjon ble tilgjengelig som forhåndsvisning forrige uke.
Verktøyet Microsoft Security Risiko for Oppdagelse, og bruker kunstig intelligens til å jakte ned sikkerhetshull i programvare som er i ferd med å bli utgitt.
Microsoft Security Risiko Deteksjon vil hjelpe utviklerne med å gjøre fuzz testing, sa David Molnar, Microsoft forsker som har ansvar for gruppen som utviklet verktøyet. Fuzz testing normalt er gjort med utenfor konsulenter for å teste ut ny programvare. Dens formål er å sørge for at sårbarheter kan bli luket ut før produktet går i bred slipp for å unngå nødvendigheten av å sy dem på baksiden slutten.
Tjenesten bruker kunstig intelligens til å be bestemt “hva hvis” – spørsmål om ny programvare, med fokus på kritiske områder som kan være utsatt for angrep av dårlige skuespillere.
Microsoft først utgitt en test-versjon av tjenesten siste året. Docusign, et firma som spesialiserer seg på automatiske elektroniske signaturer, er ett av selskapene som meldte seg frivillig til å prøve det ut.
Verktøyet hjalp Docusign luke ut feil i programvaren og nesten aldri tilbake falske positiver, ifølge John Heasman, senior director of programvare sikkerhet i selskapet.
Den lave prisen av falske positiver er svært viktig, sa han, fordi selskaper vanligvis må bruke en masse tid på å spore opp falske positiver, som bruker tid som ellers kunne vært viet til å undersøke legitime trusler.
I-Huset-Teknologi
Microsoft har vært å bruke Salvie, en viktig del av tjenesten, siden midten av 2000-tallet til å teste versjoner av Windows, Office og andre produkter. Flere produkt team i selskapet bruke tjenesten som en del av Microsoft Security Development Lifecycle.
Microsoft har planer om å tilby verktøy for salg senere denne sommeren gjennom Microsoft-Tjenester.
Hindre Forsvar
Utgivelsen er meningsfylt, i henhold til Dustin Childs, kommunikasjonsdirektør for zero day initiative i Trend Micro, som bemerket at tjenesten gir utviklere tilgang til sikkerhet testing de kanskje ellers ikke bruker.
“Bugs er mye lettere å oppdage ved utvikling av programvare,” fortalte han LinuxInsider, “så utvidet testing før utgivelsen kan hindre security problemer nedover veien.”
Om bedrifter omfavne tjenesten i stor grad avhenger av hvor mange falske positiver de får, Childs sa. En annen viktig problemstilling vil være den tillit som er problemet mellom utviklere og Microsoft, som kunne avhenge av hvor mye informasjon som er felles med utviklere og hvor mye som er opptjent av Microsoft.
Fra Microsofts perspektiv, få er todelt, sa Childs. Tjenesten skal hjelpe Microsoft med å skape et tryggere økosystem kjører en rekke Windows-programmer, og tillate selskapet å vise fram sin cloud computing og AI evner. Tjenesten vil også introdusere Azure til et stort fellesskap av potensielle kunder.
Sikkerhet er noe som alle ønsker, men få er villige til å skall ut penger for det, sa Jim McGregor, rektor analytiker ved Tirias Forskning.
“DET ledere ofte stick med sikkerhetsløsninger som de er kjent med og oppgradere med budsjettmessige sykluser,” fortalte han LinuxInsider.
Bransjen sjelden jobber sammen for å løse sikkerhetsproblemer, McGregor sa.
Sant IT-sikkerhet krever maskinvare og programvare for å være effektiv, påpekte han.
Imidlertid, Microsofts løsning tar sikkerheten til et nytt nivå ved å kombinere AI og cloud ressurser, sier McGregor. Kontinuerlig utnytter et bredt spekter av informasjon og reagerer på nye trusler raskere enn tradisjonelle løsninger.
“Det er ikke klart hvor mye suksess Microsoft vil ha med denne nye tjenesten,” sa han, “men hver DEN leder skal være ute etter å AI for forbedret sikkerhet.”
