今天,在 2016 微軟技術大會上(Ignite conference),微軟推出了一款基于云的漏洞檢測工具 Project Springfield ,該工具結合了模糊測試,幫助開發人員發現在其應用程序的 Bug。通過拋出半隨機輸入的自動化測試代碼,結合 AI 工具來檢測軟件的安全隱患。人工智能工具可以對潛在的安全問題做出更準確的假設和預測。
研究人員表示,這個工具價值百萬美元,因為開發人員總是在新產品發布之后,花費巨大的人力和資金成本來被動地跟進補丁,而 Project Springfield 可以在產品發布前主動探測出潛在漏洞。
Microsoft 研究員David Molnar 表示,就像在車禍事故中,只看事故現場可能無法確定事故原因。常規測試可以告訴你該代碼什么時候崩潰,而 AI 工具可以分析軟件在實際中是如何工作的。研究小組反復指出,這個工具之所以有能力找出數百萬個 Bug,在于其對操作系統潛在安全問題的監測能力和修復能力。相比一般的測試方法,Project Springfield 更專注和智能,它將多個不同的模糊測試技術和 AI 技術結合起來,每次軟件運行時,觀察其重要部分,收集數據,找出一般的模糊測試工具可能忽視的更深層的漏洞。一旦確定了一個 Bug,它會幫助開發商人員重現該問題。
在微軟內部,一個類似的工具已經使用了 10 年左右了,用來檢測 Windows 系統的潛在 Bug。值得注意的一點是,該工具使用二進制算法,無需借助源代碼,這意味著公司可以用它來評估從外部來源購買或收購公司代碼。開發者把二進制文件上傳到的服務器,實際測試都時基于云計算來推進的。
盡管微軟的最終目標是大眾化推廣這項技術,將其插入每家公司開發渠道,不過現在還沒有將 Project Springfield 推廣給開發商的明確日程,用戶可以在線注冊進行預覽。
京公網安備 11010502049343號