マイクロソフトにて、Project SpringfieldがAzureサービスプレビューとして利用可能になった。それはMicrosoft Security Risk Detection(MSRD)と呼ばれており、WindowsおよびLinuxアプリケーションのコードのバグやセキュリティの脆弱性を検出する。
MSRDはコード内のセキュリティホールのファインダとして宣伝されているが、バグを発見するためにも使用できる。人工知能を使って、セキュリティ上の問題やコード内のバグを指し示し、プログラムクラッシュの原因を根絶する。 Microsoftは、2000年代半ばから、Windows、Officeや他のソフトウェアでこのサービスの一部を使用してきた。このツールは、Microsoft Security Development Lifecycleプロセスでも使用されている。このプロセスでは、データパーサを信頼できないデータにさらすような少なくとも攻撃対象となり得る領域をテストすることを推奨している。
自身のソフトウェアでMSRDを実行したい顧客にはVMが提供され、そこで、テスト対象のアプリケーションのバイナリをアップロードし、データシードファイルを入力する。MSRDは、プログラムをテストするために提供されたデータシードファイルに基づいてホワイトボックスファジングを使用し、発見された脆弱性になり得る箇所を報告し、問題を再現するための情報を開発者に提供する。(Fuzzing Basicsの詳細については、このドキュメントページを参照のこと)
MSRDを使用すると、Webサイトのコードをファズする(予測不可能な入力データを与える)ことができるが、いくつかの制限があり、クロスサイトスクリプティングやクロスサイトリクエストフォージェリの脆弱性を発見することはできない。また、MSRDはマネージドコードやAzureアプリケーションに使用できる。しかし、後者の場合、サービスは通常、クラウドアプリケーションで発生するので、他のAzureサービスにアクセスすることはできない。
Windows Server 2008 R2およびRed Hat Linux上で動作するアプリケーションは現在サポートされており、Linuxはプレビューである。マイクロソフトでは、Windows 10およびWindows Server 2016のサポートを追加する作業を進めている。マイクロソフトでは、この秋の後半にMicrosoftサービスを通じてセキュリティリスク検出ツールを提供する予定である。
Rate this Article
- Editor Review
- Chief Editor Action