Project Springfield团队成员,从左至右:Stas Tishkin, William Blum, Marc Greisen, Cheick Omar Keita, Dave Tamasi, David Molnar (坐) , Theresa Pacheco, Marina Polishchuk, Patrice Godefroid, Ram Nagaraja
微软目前正在开发一种云服务,可借助人工智能追踪软件中的错误和漏洞,并将向Linux用户提供这套工具的预览版。
微软安全风险检测(Microsoft Security Risk Detection,以前称为Project Springfield)是一套基于云的工具,开发者可以利用该云服务查找即将发布或已投入使用的软件中的错误和其它安全漏洞。在软件发布之前就找到其中漏洞,可以为企业省去软件发布后再修复错误、处理崩溃或应对攻击等一系列麻烦。
微软研究员David Molnar所领导的团队开发了这套风险检测工具。Molnar表示,以往企业都会聘请安全专家来承担这项工作,即所谓的模糊测试(但他们未必真的这样做)。但是面对日益增加的需要测试的软件,安全专家们显得越来越力不从心,而且现在保护系统免受攻击也正变得比以往任何时候都更加重要。
他表示,风险检测服务可以作为辅助手段,帮助开发人员借助人工智能来查找安全问题。
他说:“我们通过人工智能技术来自动执行人工查找错误所使用的相同推理过程,并借助云的强大功能,对其加以扩展。”
模糊测试是专家们为保持系统安全而建议采取的诸多措施之一,用于查找可能被恶意攻击或直接击溃系统的漏洞。通过模糊测试查找出漏洞之后,开发人员可以使用其它工具来修复漏洞、降低风险或探索其它解决方案。
微软安全风险检测服务的独特之处在于它使用人工智能来提出一系列“假如……会怎样”的问题,试图发现可能触发崩溃并引发安全隐患的因素。每次运行时,它都会重点关注最为关键的区域,以寻找其它未采用智能方法的工具可能会忽视的漏洞。
Molnar表示,这套工具非常适合独立开发软件、修改现成软件或使用开源产品许可证的企业。
微软安全风险检测团队负责人、微软研究员David Molnar
DocuSign公司是一家帮助用户以电子方式而不再以纸笔方式签署文件的公司。他们参加了2016年秋季发布的Windows版风险检测服务的小范围试用。DocuSign软件安全高级总监John Heasman表示,这套工具帮助他们识别出了其它方式可能无法发现的潜在错误。
他强调说,微软这套工具几乎从未给出“误报”(即实际上并不构成问题的潜在错误)。其实“误报”本身也是业内关注的问题之一,因为安全专家需要花费大量时间去排查“误报”的漏洞,并且因此可能会漏掉真实存在的漏洞。
“这类解决方案很少有这么低的误报率。”Heasman说。
Heasman表示,DocuSign使用微软安全风险检测工具来查找已购买或获得许可的软件中的错误和漏洞,公司希望通过将这套工具整合到一款用于处理用户上传文档的软件中,来检测文档中可能包含的恶意内容,并且可以主动发现问题、避免潜在的攻击。
Molnar表示,事实证明微软安全风险检测工具能够极大地帮助那些正在经历大规模数字化转型的公司,以及帮助那些将新技术纳入到以往纯凭手工完成或仅使用初级技术的业务流程中。
他指出,这些公司的员工可能是各自核心业务领域内的世界级专家——无论是酿造啤酒还是出售冰淇淋,但他们未必有专职人员对即将使用的新软件进行复杂的安全测试。
植根于微软自己的安全测试
自本世纪前十几年的中期以来,微软自身一直都在使用微软安全风险检测服务中的一个关键组件——SAGE,它已用于检测多个版本的Windows、Office和其他微软产品中的错误和漏洞。不仅如此,微软多个产品团队目前也都在使用该风险检测工具,并将其作为微软安全开发生命周期的一部分。
微软安全风险检测服务捆绑了SAGE以及其他模糊检测工具,拥有友好的用户界面及其他工具,且目前在微软Azure云中运行。
微软计划于今年夏末通过微软服务对这套工具定价出售。开发者可以通过微软安全风险检测网站进行注册,以了解有关Windows正式版以及Linux预览版的更多信息。