微软发布了一个新的工具,帮助开发人员分析新开发的应用是否会改变网络犯罪分子攻击目标漏洞以及访问Windows的方式。
该工具被称为攻击表面分析仪(Attack Surface Analyzer),新SDL验证工具的测试版已经对广大公众提供。该工具会在一个应用程序安装前后获取Windows系统状态的快照。
这种新工具是弗吉尼亚州Arlington举行的黑帽大会(Black Hat D.C. Conference)上发布的品之一,会上微软强调了其安全软件发展计划。
微软已经发布了工具和详细概述工具内部流程的文档,作为其可信赖计算(Trustworthy Computing)计划的一部分帮助公司简历更安全的软件开发流程。
微软表示,这款新工具可以更多的被其他IT专业人士使用。IT审计人员可以使用攻击表面分析仪(Attack Surface Analyzer)评估一个新安装的应用程序带来的风险,事故反应者使用它可以在系统调查期间获得对安全状况更好的了解。
该工具可以帮助微软从客户那里收集反馈和现实世界中使用的数据, 微软SDL团队主要安全项目经理David Ladd说道。
“在发布前,微软已经要求应用进行攻击表面验证很多年了,但是咋一看,评估一个应用或软件的攻击表面还挺吓人的。”Ladd在其一篇关于攻击表面分析仪(Attack Surface Analyzer)的博客中这样写道。
这种新工具适用于Windows 7,Windows Vista,Windows Server 2008和Windows Server 2008 R2。
此外,微软还发布了SDL威胁建模工具的新版本。Ladd说3.1.6版本考虑到了早起版本和结构分析,并积极缓解现有和新增应用中的潜在安全与隐私问题。该工具目前处于测试阶段,支持微软Visio 2010图表设计。最终版本将于2011年秋季推出。去年,微软在SDL阵容中增加了Agile开发方法。
微软同时还在更新其现有的BinScope二分制分析仪(BinScope Binary Analyzer),该工具检查在二进制编码时常常被攻击者利用的代码漏洞。该工具的1.2版本,整合了Visual Studio 2008和2010,并与Microsoft Team Foundation Server 2008和Microsoft Team Foundation Server 2010一起工作,将结果输出到项目表中。
微软启动SDL咨询服务
除了发布新工具,微软还表示将开始提供咨询服务以帮助企业提高他们的安全开发生命周期过程。这些服务将于2月开始提供。
“这是一个端到端的咨询解决方案,充分利用了公司开发的实践与安全经验,”Ladd在一份声明中说道。“我们的目标是帮助企业提高软件安全性,降低客户的风险,并降低总开发成本。”
作为咨询服务的一部分,微软将提供对软件开发生命周期的各方面的培训和指导文件。该服务的价格将根据微软的顾问参与程度而定,Ladd说道。