DoSECU 安全报道 9月18日报道:微软日前推出一个二进制代码分析工具和模糊程序,旨在帮助研发人员设计安全的应用软件。
微软公司于9月16日推出了两款最新工具来帮助研发人员在他们的应用软件中构建更好的安全性。
这款工具可以免费下载,它的设计可以帮助研发人员将微软的安全研发生命周期(简称SDL)流程扩展到他们的企业中去。该工具的第一个部分是BinScope二元分析工具,它可以检查二进制文件来查看他们是否符合安全研发生命周期的要求。举例来说,该工具能检查是否正确设置了微软安全研发声明周期所需的编译器/连接器标记,是否使用了强大的指定分配和应用了更新的内置工具。
第二个程序是Microsoft MiniFuzz文件模糊测试工具。 MiniFuzz旨在帮助研发人员检测可能存在安全隐患的代码缺陷,这些缺陷可能通过创建随机的变化文件内容而暴露文件处理代码中的安全漏洞。程序在执行代码时会暴露意料之外的应用软件行为。
微软公司安全研发生命周期团队的首席安全程序经理戴维.兰德表示"代码分析和模糊程序都是安全研发生命周期所需的组成部分,因为恶意黑客就是利用代码分析和模糊程序等测试技术来寻找漏洞的。对于研发人员和测试人员来说先发制人的利用类似的技术来提前发现和修正这些漏洞是非常重要的,否则就可能会被遗漏这些安全薄弱点"
MiniFuzz文件模糊测试工具和BinScope二进制分析工具都以两种类型提供给用户:一种是单机版可执行工具,另外一种是带有Visual Studio的集成工具。这些工具可以从微软公司安全研发生命周期工具库和微软下载中心下载使用。
