Microsoft
微软本周在Microsoft Ignite会议上发表了Springfield专案(Project Springfield)的首个预览版,这是一个基于Azure的云端模糊测试服务,可协助开发人员搜捕软体中的安全漏洞。
微软研究人员指出,若可在产品上线前找到并修补严重的漏洞,将可节省大量的修补成本,以作业系统或生产力产品为例,相关的修补成本可能高达100万美元。
Springfield专案科学长Patrice Godefroid则说,愈能自己找到更多的漏洞,就愈能在软体上线前完成修补。微软自2000年起便开始利用Springfield专案的核心元件SAGE来测试各种产品,包括Windows 7在内,虽然也有其他人负责检查Windows 7的漏洞,但SAGE的模糊测试总计找出了1/3的漏洞。
模糊测试只是为数众多的安全测量工具之一,负责Springfield专案的微软研究人员David Molnar指出,模糊测试适用于经常合併各种不可太靠的输入内容时,包括文件、图片、影片或各种资讯,主要寻找任何可替骇客开启攻击大门的安全漏洞。
Springfield专案寻找漏洞的流程很简单:先上传二进位档,再执行多个不同的模糊测试,找出有价值的漏洞,最后修补漏洞 。如同抛出各种随机及意外的输入内容到软体中,以检视这些不可预见的行为是否会导致软体当掉。
此外,该专案运用了人工智慧技术,询问一系列的”what if”问题,每次执行时都会蒐集资料并加以淬炼,有机会找出其他模糊工具可能错过的漏洞。
其实模糊工具并非新意,此次微软除了加入人工智慧技术之外,也将该工具搬上Azure云端平台,相较于在伺服器端进行测试,Springfield专案将可带来20倍的测试规模。目前该专案只支援Windows程式,预计很快就会支援Linux, 同时鼓励使用者报名参与预览测试。
I 相关 / Other
俄罗斯IT採购去欧美化,传莫斯科60万电脑及伺服器将换掉微软产品
彭博报导,因应俄罗斯公家部门优先採购国家产品的法令,莫斯科市政府将分阶段以俄罗斯产品取代微软的Exchange、Outlook,以及Windows、Office。?近年俄罗斯与美国及欧洲外交上出现龃龉,俄罗斯总统普丁(Vladimir Pu
Google、脸书及微软等五大科技业者结盟,探索以AI造福人类
示意图,与新闻事件无关。 图片来源: IBM 包括Google、Amazon、脸书(Facebook)、IBM及微软等五大科技业者于本周三(9/28)宣布将共同设立一名为「可造福人群与社会的AI合作关係」(Partnership on Artificial In
图片来源: Altiscale 商用软体大厂SAP周三宣布已完成收购大数据即服务(Big Data as a Service, BDaaS)新创业者Altisacle。?成立于2012年的Altiscale以其Altiscale Data Cloud闻名,提供云端代管Hadoop及Spark平台,
图片来源: Twitter 在Twitter开始考虑出售事宜之后, 有兴趣的买家似乎愈来愈多,从最早的Alphabet、苹果、 News Corp、私募基金,到日前的Salesforce.com, 以及本周传出包括迪士尼及微软都在评估买下Twitter的可能
微软作业系统、办公云、行动云大合体,10月新推安全企业生产力套餐
将自家个人端作业系统软体加上两种云端服务,微软祭出安全牌,企图招揽企业用户 图片来源: 李宗翰摄影 微软Windows 10上市已经届满一年,继发行週年版之外,该公司先前在7月,曾宣布将推出安全企业生产力套餐Secur