Microsoft met en ligne son outil de détection de failles de sécurité, Security Risk Detection (SRD). Ce dernier est censé mettre au jour les failles avant que celles-ci ne soient officiellement découvertes, afin de faciliter leur correction à la fin de l’étape de développement. SRD est disponible pour Windows et pour Linux, dans une version préliminaire. Annoncé en septembre dernier et connu sous l’appellation de projet Springfield, l’outil automatise le fuzzing, une technique de tests automatiques consistant à fournir des données invalides, non prévues ou aléatoires à des programmes, afin de détecter des crashs ou autres erreurs comme des corruptions de mémoire. Ce qui permet aux développeurs de détecter des problèmes dans leurs applicatifs avant de les mettre en production.
Après s’être identifiés sur un portail web, les utilisateurs de SRD pourront installer les binaires du programme au sein d’une machine virtuelle, ainsi qu’un gestionnaire qui va lancer les scénarios de tests et échantillonner les fichiers qui vont servir à éprouver la robustesse du programme cible. SRD exploite également des mécanismes d’IA pour automatiser les processus de raisonnement amenant habituellement les experts en sécurité à découvrir les zones de fragilité d’un logiciel. L’outil exploite le Cloud pour partager l’expérience de ses utilisateurs et entraîner ses algorithmes.
Le service a été conçu pour les organisations qui écrivent leur propre logiciel, modifient des programmes du commerce ou exploitent sous licence des offres Open Source. SRD ne nécessite pas l’accès au code source, explique David Molnar, chercheur principal et chef de projet chez Microsoft. Les utilisateurs peuvent y injecter n’importe quel logiciel Open Source.
SRD repose sur deux avancées, selon Molnar. Primo, le débogage historisé, qui permet aux utilisateurs de revenir sur leur logiciel pour voir où et quand des défauts y ont été introduits. Secundo, la technique dite de résolution de contraintes (où la relation entre des variables est établie sous forme de contraintes) appliquée à la chasse aux bugs, le sujet de recherche de David Molnar.
« Nous pensons que SRD peut aider à faire face à la pénurie de professionnels de la sécurité en facilitant le travail des développeurs sans expérience sur ce sujet », explique Molnar. Microsoft envisage de rendre le service payant plus tard dans le courant de l’été.
A lire aussi :
Open Source : avec OSS-Fuzz, Google paye les développeurs qui testent leurs projets
L’Open Source fait peser des risques sur la sécurité de l’entreprise
HackerOne ouvre ses Bug Bounties aux projets Open Source
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…