Microsoft har släppt sin efterlängtade cloud-baserade bugg detection tool, som tidigare kodnamnet “Project Springfield.” Windows-versionen blev allmänt tillgängliga, och ett nytt Linux-version blev tillgängligt som förhandsvisning förra veckan.
Verktyget Microsoft Security Risk för Upptäckt, använder artificiell intelligens för att hitta sårbarheter i program som är på väg att släppas.
Microsoft Security Risk för Upptäckt kommer att hjälpa utvecklare att göra fuzz testning, sade David Molnar, Microsoft forskare ansvarig för den grupp som utvecklat verktyget. Fuzz testning normalt görs med hjälp av externa konsulter för att testa nya program. Dess syfte är att se till att sårbarheter kan gallras bort innan produkten går in i stor release för att undvika behovet av att fixa dem på baksidan slutet.
Tjänsten använder artificiell intelligens för att fråga “vad händer om” – frågor om nya programvara, med fokus på kritiska områden som kan vara utsatta för angrepp av dåliga skådespelare.
Microsoft har släppt en testversion av tjänsten förra året. Docusign, ett företag som specialiserat sig på automatiska elektroniska signaturer, är ett av de företag som erbjöd sig att prova ut det.
Verktyget har hjälpt Docusign sålla ut buggar i programvaran och nästan aldrig tillbaka falskt positiva, enligt John Heasman, senior chef för programvara för säkerhet på företaget.
Den låga graden av falsklarm är mycket viktigt, sade han, eftersom företag har vanligtvis att spendera en hel del tid med att söka efter falska positiva, som använder tid som annars kunde ha använts för att undersöka legitimt hot.
In-House-Teknik
Microsoft har varit med Sage, en viktig del av tjänsten, sedan mitten av 2000-talet för att testa versioner av Windows, Office och andra produkter. Flera produkt-grupper på företaget använda tjänsten som en del av Microsoft Security Development Lifecycle.
Microsoft planer på att erbjuda verktyg för försäljning senare i sommar genom Microsoft-Tjänster.
Förhindra Försvar
Utgåvan är meningsfull, enligt Dustin Childs, informationsdirektör för zero day initiative på Trend Micro, som konstaterade att den tjänst som ger utvecklare tillgång till säkerhet, testning som de annars kanske inte skulle använda.
“Buggar är mycket lättare att upptäcka vid utveckling av mjukvara”, sa han till LinuxInsider, “så utökade tester innan de släpps kunde förhindra säkerhet problem på vägen.”
Om företag omfamna tjänsten beror till stor del på hur många falska positiva de få, Childs säger. En annan viktig fråga kommer att vara att lita fråga mellan utvecklare och Microsoft, vilket kan bero på hur mycket information som är gemensam med utvecklarna och hur mycket som är kvar av Microsoft.
Från Microsofts perspektiv, vinsten är dubbel, sade Childs. Tjänsten kommer att hjälpa Microsoft att skapa en säkrare ekosystem igång en serie av Windows-applikationer, och göra det möjligt för företaget att visa upp sin cloud computing och AI kapacitet. Tjänsten kommer också att presentera Azure till en stor gemenskap av potentiella kunder.
Säkerhet är något som alla vill ha, men få är villiga att punga ut pengar för det, konstaterade Jim McGregor, chefsanalytiker på Tirias Forskning.
“IT-chefer håller sig ofta med de säkerhetslösningar som de är förtrogna med och uppgradera med budget-cykler”, sa han till LinuxInsider.
Industrin sällan arbetar tillsammans för att lösa säkerhetsfrågor, McGregor sade.
Sant IT-säkerhet kräver hårdvara och mjukvara för att vara effektiva, påpekade han.
Men Microsofts lösning tar säkerheten till en ny nivå genom att kombinera AI och moln resurser, sade McGregor. Det ständigt utnyttjar ett brett utbud av information och reagerar på nya hot snabbare än med traditionella lösningar.
“Det är inte klart hur mycket framgång Microsoft kommer att ha med denna nya tjänst,” sade han, “men varje IT-chef bör vara ute efter att AI för ökad säkerhet.”
