BT

MicrosoftがWindowsおよびLinux上のバグおよびセキュリティリスク検出をプレビュー

| 作者: Abel Avram フォローする 7 人のフォロワー , 翻訳者 編集部T フォローする 0 人のフォロワー 投稿日 2017年8月27日. 推定読書時間: 2 分 |

原文(投稿日:2017/07/22)へのリンク

マイクロソフトにて、Project SpringfieldがAzureサービスプレビューとして利用可能になった。それはMicrosoft Security Risk Detection(MSRD)と呼ばれており、WindowsおよびLinuxアプリケーションのコードのバグやセキュリティの脆弱性を検出する。

MSRDはコード内のセキュリティホールのファインダとして宣伝されているが、バグを発見するためにも使用できる。人工知能を使って、セキュリティ上の問題やコード内のバグを指し示し、プログラムクラッシュの原因を根絶する。 Microsoftは、2000年代半ばから、Windows、Officeや他のソフトウェアでこのサービスの一部を使用してきた。このツールは、Microsoft Security Development Lifecycleプロセスでも使用されている。このプロセスでは、データパーサを信頼できないデータにさらすような少なくとも攻撃対象となり得る領域をテストすることを推奨している。

自身のソフトウェアでMSRDを実行したい顧客にはVMが提供され、そこで、テスト対象のアプリケーションのバイナリをアップロードし、データシードファイルを入力する。MSRDは、プログラムをテストするために提供されたデータシードファイルに基づいてホワイトボックスファジングを使用し、発見された脆弱性になり得る箇所を報告し、問題を再現するための情報を開発者に提供する。(Fuzzing Basicsの詳細については、このドキュメントページを参照のこと)

MSRDを使用すると、Webサイトのコードをファズする(予測不可能な入力データを与える)ことができるが、いくつかの制限があり、クロスサイトスクリプティングやクロスサイトリクエストフォージェリの脆弱性を発見することはできない。また、MSRDはマネージドコードやAzureアプリケーションに使用できる。しかし、後者の場合、サービスは通常、クラウドアプリケーションで発生するので、他のAzureサービスにアクセスすることはできない。

Windows Server 2008 R2およびRed Hat Linux上で動作するアプリケーションは現在サポートされており、Linuxはプレビューである。マイクロソフトでは、Windows 10およびWindows Server 2016のサポートを追加する作業を進めている。マイクロソフトでは、この秋の後半にMicrosoftサービスを通じてセキュリティリスク検出ツールを提供する予定である。

Rate this Article

Adoption Stage
Style

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT