Microsoft propose des outils pour sécuriser le développement de l'application
Microsoft est en train d'introduire le mercredi de deux outils de test pour aider les programmeurs Windows mieux construire la sécurité dans leurs applications C et C++, mais un analyste de l'industrie a été écarté de l'utilité de ces outils pour les développeurs en entreprise.
Offert gratuitement, les outils de permettre la mise en œuvre de Microsoft SDL (Security Development Lifecycle), par l'injection de sécurité et de confidentialité des dispositions dans le cycle de vie de développement, par opposition à des tests lors de la pré - et de post-déploiement d'une application.
[ La semaine dernière, Microsoft a révélé certaines fonctionnalités prévues pour sa prochaine application Silverlight 4 technologie. ]
L'un des outils, BinScope Analyseur Binaire, analyse de code binaire pour valider le respect de SDL exigences pour les statisticiens et les linkers. Il vérifie également l'utilisation d'un nom fort assemblées et à jour des outils de construction. "Essentiellement, ce qu'il fait est-il des contrôles pour une variété de SDL, comme les GS drapeau, qui est utilisé pour prévenir les dépassements de tampon," a dit David Ladd, principal responsable des programmes de sécurité pour la sécurité du cycle de développement chez Microsoft.
Les dépassements de mémoire tampon de permettre à des pirates de prendre le contrôle d'une application, Ladd a dit. "Dans la mesure où vous pouvez empêcher les personnes au moment de la compilation, c'est une bonne chose d'un point de vue sécurité," dit-il. L'outil nécessite des fichiers de symboles, en assurant la sécurité contre les pirates potentiellement à l'aide de l'outil d'analyse de logiciels sur le Web pour des faiblesses.
Le deuxième outil, Microsoft MiniFuzz Fichier Fuzzer met en œuvre les tests aléatoires de la technique. Testeurs de vérifier le comportement de l'application par l'analyse des fichiers qui ont été délibérément endommagé. Les tests de sécurité sont appliquées à prendre de code par le biais de différents modèles de flux et d'identifier si les accidents résultant devrait être étudiée comme une application potentielle des risques de sécurité.
"Si vous trouvez un fichier échec et il a des ramifications de sécurité, vous avez envie de sortir et de résoudre ce problème", Ladd a dit.
Un analyste, cependant, douté de l'entreprise et les développeurs ont beaucoup d'utilisation pour les outils. Ces développeurs sont plus susceptibles d'être à l'aide de Java et de .Net géré technologies de code avec Visual Basic.Net et C# plutôt que C ou C++, a déclaré Michael Gualtieri, analyste senior chez Forrester Research. L'entreprise est également proposé aux développeurs n'ont généralement pas de développer des applications pour ouvrir des fichiers, qui est ce que la fuzz-outil de test est utilisé pour, dit-il.
"Il n'y a pas beaucoup d'une histoire pour les entreprises de ces outils eux-mêmes," Gualtieri dit.
"Ces outils sont plus utiles pour les systèmes et les fournisseurs de logiciels qu'ils sont pour la plupart des entreprises IT magasins," at-il dit. En libérant les outils, Microsoft continue de démontrer son engagement à faire de la SDL processus réel pour les développeurs, dit Gualtieri.
Un représentant de Microsoft a dit beaucoup de contrôles en vedette dans BinScope Binaire de l'Analyseur sont intrinsèquement construit dans .NET de codage. Microsoft a déjà publié une menace outil de gestion et processus de gestion du modèle basé sur la SDL.
Microsoft le mercredi aussi publie un document intitulé "Manuel d'Intégration du Modèle de Processus SDL," pour Microsoft Visual Studio Team System utilisateurs par le biais d'un processus manuel pour intégrer des éléments du modèle de processus SDL en Équipe des projets de Système.
Les outils et le papier peuvent être accessibles par le biais de cette page Web.
Date de publication: Offert gratuitement, les outils de permettre la mise en œuvre de Microsoft SDL (Security Development Lifecycle), par l'injection de sécurité et de confidentialité des dispositions dans le cycle de vie de développement, par opposition à des tests lors de la pré - et de post-déploiement d'une application.
[ La semaine dernière, Microsoft a révélé certaines fonctionnalités prévues pour sa prochaine application Silverlight 4 technologie. ]
L'un des outils, BinScope Analyseur Binaire, analyse de code binaire pour valider le respect de SDL exigences pour les statisticiens et les linkers. Il vérifie également l'utilisation d'un nom fort assemblées et à jour des outils de construction. "Essentiellement, ce qu'il fait est-il des contrôles pour une variété de SDL, comme les GS drapeau, qui est utilisé pour prévenir les dépassements de tampon," a dit David Ladd, principal responsable des programmes de sécurité pour la sécurité du cycle de développement chez Microsoft.
Les dépassements de mémoire tampon de permettre à des pirates de prendre le contrôle d'une application, Ladd a dit. "Dans la mesure où vous pouvez empêcher les personnes au moment de la compilation, c'est une bonne chose d'un point de vue sécurité," dit-il. L'outil nécessite des fichiers de symboles, en assurant la sécurité contre les pirates potentiellement à l'aide de l'outil d'analyse de logiciels sur le Web pour des faiblesses.
Le deuxième outil, Microsoft MiniFuzz Fichier Fuzzer met en œuvre les tests aléatoires de la technique. Testeurs de vérifier le comportement de l'application par l'analyse des fichiers qui ont été délibérément endommagé. Les tests de sécurité sont appliquées à prendre de code par le biais de différents modèles de flux et d'identifier si les accidents résultant devrait être étudiée comme une application potentielle des risques de sécurité.
"Si vous trouvez un fichier échec et il a des ramifications de sécurité, vous avez envie de sortir et de résoudre ce problème", Ladd a dit.
Un analyste, cependant, douté de l'entreprise et les développeurs ont beaucoup d'utilisation pour les outils. Ces développeurs sont plus susceptibles d'être à l'aide de Java et de .Net géré technologies de code avec Visual Basic.Net et C# plutôt que C ou C++, a déclaré Michael Gualtieri, analyste senior chez Forrester Research. L'entreprise est également proposé aux développeurs n'ont généralement pas de développer des applications pour ouvrir des fichiers, qui est ce que la fuzz-outil de test est utilisé pour, dit-il.
"Il n'y a pas beaucoup d'une histoire pour les entreprises de ces outils eux-mêmes," Gualtieri dit.
"Ces outils sont plus utiles pour les systèmes et les fournisseurs de logiciels qu'ils sont pour la plupart des entreprises IT magasins," at-il dit. En libérant les outils, Microsoft continue de démontrer son engagement à faire de la SDL processus réel pour les développeurs, dit Gualtieri.
Un représentant de Microsoft a dit beaucoup de contrôles en vedette dans BinScope Binaire de l'Analyseur sont intrinsèquement construit dans .NET de codage. Microsoft a déjà publié une menace outil de gestion et processus de gestion du modèle basé sur la SDL.
Microsoft le mercredi aussi publie un document intitulé "Manuel d'Intégration du Modèle de Processus SDL," pour Microsoft Visual Studio Team System utilisateurs par le biais d'un processus manuel pour intégrer des éléments du modèle de processus SDL en Équipe des projets de Système.
Les outils et le papier peuvent être accessibles par le biais de cette page Web.
Auteur: Keylogger.Org L'Équipe
