This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Microsoft предлагает инструменты для безопасной разработки приложений
Лучшие кейлоггеры
Посмотреть еще...

Microsoft предлагает инструменты для безопасной разработки приложений

  •  
Рейтинг пользователя: нет отзывов. Будьте первым, кто рассмотрит его! 0-1 голос
Microsoft представляет в среду два инструмента тестирования, чтобы помочь программистам Windows повысить безопасность своих приложений на C и C++, но отраслевой аналитик пренебрежительно отнесся к тому, насколько полезны эти инструменты будут для корпоративных разработчиков.

Предлагаемые бесплатно инструменты позволяют реализовать процесс SDL (Security Development Lifecycle) Microsoft для внедрения положений о безопасности и конфиденциальности в жизненный цикл разработки в отличие от тестирования во время предварительного и последующего развертывания приложения.

[ Прошлая неделя, Microsoft раскрыла некоторые функции, запланированные для своей будущей прикладной технологии Silverlight 4. ]

Один из инструментов, BinScope Binary Analyzer, анализирует двоичный код для проверки соответствия требованиям SDL для компиляторов и компоновщиков. Он также проверяет использование строго именованных сборок и современных инструментов сборки. "По сути, он проверяет наличие различных требований SDL, таких как флаг GS, который используется для предотвращения переполнения буфера", - сказал Дэвид Лэдд, главный менеджер программ безопасности для команды жизненного цикла разработки безопасности в Microsoft.

Переполнение буфера позволяет хакерам взять под контроль приложение, сказал Лэдд. "В той мере, в какой вы можете предотвратить их во время компиляции, это хорошо с точки зрения безопасности", - сказал он. Инструмент требует символьных файлов, обеспечивая защиту от хакеров, потенциально использующих инструмент для анализа программного обеспечения в интернете на наличие слабых мест.

Второй инструмент, Microsoft MiniFuzz File Fuzzer, реализует метод тестирования fuzz. Тестировщики проверяют поведение приложений, анализируя файлы, которые были намеренно повреждены. Тесты безопасности применяются для анализа кода по различным схемам потока и определения того, следует ли исследовать возникающие сбои как потенциальные риски безопасности приложений.

"Если вы обнаружите сбой файла, и он имеет последствия для безопасности, вы хотите выйти и исправить эту проблему", - сказал Лэдд.

Аналитик, однако, сомневался, что корпоративные разработчики будут иметь много пользы для инструментов. Эти разработчики с большей вероятностью будут использовать технологии управляемого кода Java и .Net с помощью Visual Basic.Net и C#, а не C или c++, сказал Майкл Гуальтьери, старший аналитик Forrester Research. Корпоративные разработчики также обычно не разрабатывают приложения для открытых файлов, для чего и используется инструмент fuzz-тестирования, сказал он.

"Для предприятий не так уж много истории для самих этих инструментов", - сказал Гуальтьери.

"Эти инструменты более полезны для поставщиков систем и программного обеспечения, чем для большинства корпоративных ИТ-магазинов", - сказал он. Однако, выпустив эти инструменты, Microsoft продолжает демонстрировать свою приверженность тому, чтобы сделать процесс SDL реальным для разработчиков, сказал Гуальтьери.

Представитель Microsoft сказал, что многие проверки, представленные в Binscope Binary Analyzer, по своей сути встроены в .NET-кодирование. Ранее Microsoft выпустила инструмент управления угрозами и шаблон управления процессами на основе SDL.

Microsoft в среду также выпускает документ под названием "ручная интеграция шаблона процесса SDL", чтобы помочь пользователям командной системы Microsoft Visual Studio пройти через ручной процесс включения элементов шаблона процесса SDL в проекты командной системы.

Доступ к инструментам и бумаге можно получить через эту веб-страницу .
Дата публикации:
Автор:
Главная> > Мировые новости> > Microsoft предлагает инструменты для безопасной разработки приложений
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.