Microsoft предлагает инструменты для безопасной разработки приложений
Предлагаемые бесплатно инструменты позволяют реализовать процесс SDL (Security Development Lifecycle) Microsoft для внедрения положений о безопасности и конфиденциальности в жизненный цикл разработки в отличие от тестирования во время предварительного и последующего развертывания приложения.
[ Прошлая неделя, Microsoft раскрыла некоторые функции, запланированные для своей будущей прикладной технологии Silverlight 4. ]
Один из инструментов, BinScope Binary Analyzer, анализирует двоичный код для проверки соответствия требованиям SDL для компиляторов и компоновщиков. Он также проверяет использование строго именованных сборок и современных инструментов сборки. "По сути, он проверяет наличие различных требований SDL, таких как флаг GS, который используется для предотвращения переполнения буфера", - сказал Дэвид Лэдд, главный менеджер программ безопасности для команды жизненного цикла разработки безопасности в Microsoft.
Переполнение буфера позволяет хакерам взять под контроль приложение, сказал Лэдд. "В той мере, в какой вы можете предотвратить их во время компиляции, это хорошо с точки зрения безопасности", - сказал он. Инструмент требует символьных файлов, обеспечивая защиту от хакеров, потенциально использующих инструмент для анализа программного обеспечения в интернете на наличие слабых мест.
Второй инструмент, Microsoft MiniFuzz File Fuzzer, реализует метод тестирования fuzz. Тестировщики проверяют поведение приложений, анализируя файлы, которые были намеренно повреждены. Тесты безопасности применяются для анализа кода по различным схемам потока и определения того, следует ли исследовать возникающие сбои как потенциальные риски безопасности приложений.
"Если вы обнаружите сбой файла, и он имеет последствия для безопасности, вы хотите выйти и исправить эту проблему", - сказал Лэдд.
Аналитик, однако, сомневался, что корпоративные разработчики будут иметь много пользы для инструментов. Эти разработчики с большей вероятностью будут использовать технологии управляемого кода Java и .Net с помощью Visual Basic.Net и C#, а не C или c++, сказал Майкл Гуальтьери, старший аналитик Forrester Research. Корпоративные разработчики также обычно не разрабатывают приложения для открытых файлов, для чего и используется инструмент fuzz-тестирования, сказал он.
"Для предприятий не так уж много истории для самих этих инструментов", - сказал Гуальтьери.
"Эти инструменты более полезны для поставщиков систем и программного обеспечения, чем для большинства корпоративных ИТ-магазинов", - сказал он. Однако, выпустив эти инструменты, Microsoft продолжает демонстрировать свою приверженность тому, чтобы сделать процесс SDL реальным для разработчиков, сказал Гуальтьери.
Представитель Microsoft сказал, что многие проверки, представленные в Binscope Binary Analyzer, по своей сути встроены в .NET-кодирование. Ранее Microsoft выпустила инструмент управления угрозами и шаблон управления процессами на основе SDL.
Microsoft в среду также выпускает документ под названием "ручная интеграция шаблона процесса SDL", чтобы помочь пользователям командной системы Microsoft Visual Studio пройти через ручной процесс включения элементов шаблона процесса SDL в проекты командной системы.
Доступ к инструментам и бумаге можно получить через эту веб-страницу .
Автор: Keylogger.Org Команда