BT

InfoQ ホームページ ニュース MicrosoftがWindowsおよびLinux上のバグおよびセキュリティリスク検出をプレビュー

MicrosoftがWindowsおよびLinux上のバグおよびセキュリティリスク検出をプレビュー

ブックマーク

原文(投稿日:2017/07/22)へのリンク

マイクロソフトにて、Project SpringfieldがAzureサービスプレビューとして利用可能になった。それはMicrosoft Security Risk Detection(MSRD)と呼ばれており、WindowsおよびLinuxアプリケーションのコードのバグやセキュリティの脆弱性を検出する。

MSRDはコード内のセキュリティホールのファインダとして宣伝されているが、バグを発見するためにも使用できる。人工知能を使って、セキュリティ上の問題やコード内のバグを指し示し、プログラムクラッシュの原因を根絶する。 Microsoftは、2000年代半ばから、Windows、Officeや他のソフトウェアでこのサービスの一部を使用してきた。このツールは、Microsoft Security Development Lifecycleプロセスでも使用されている。このプロセスでは、データパーサを信頼できないデータにさらすような少なくとも攻撃対象となり得る領域をテストすることを推奨している。

自身のソフトウェアでMSRDを実行したい顧客にはVMが提供され、そこで、テスト対象のアプリケーションのバイナリをアップロードし、データシードファイルを入力する。MSRDは、プログラムをテストするために提供されたデータシードファイルに基づいてホワイトボックスファジングを使用し、発見された脆弱性になり得る箇所を報告し、問題を再現するための情報を開発者に提供する。(Fuzzing Basicsの詳細については、このドキュメントページを参照のこと)

MSRDを使用すると、Webサイトのコードをファズする(予測不可能な入力データを与える)ことができるが、いくつかの制限があり、クロスサイトスクリプティングやクロスサイトリクエストフォージェリの脆弱性を発見することはできない。また、MSRDはマネージドコードやAzureアプリケーションに使用できる。しかし、後者の場合、サービスは通常、クラウドアプリケーションで発生するので、他のAzureサービスにアクセスすることはできない。

Windows Server 2008 R2およびRed Hat Linux上で動作するアプリケーションは現在サポートされており、Linuxはプレビューである。マイクロソフトでは、Windows 10およびWindows Server 2016のサポートを追加する作業を進めている。マイクロソフトでは、この秋の後半にMicrosoftサービスを通じてセキュリティリスク検出ツールを提供する予定である。

Rate this Article

Adoption Stage
Style

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。