Корпорация Microsoft представила два новых инструмента тестирования, которые помогут разработчикам, создающим программы для Windows, повысить уровень безопасности своих приложений на Си и C++. Однако эксперты сдержанно оценивают практическую пользу этих инструментов для разработчиков из корпоративного сектора.
Новые инструменты, предлагаемые бесплатно, дают возможность реализовать предложенный Microsoft процесс SDL (Security Development Lifecycle), задача которого - обеспечить безопасность и конфиденциальность на всех этапах жизненного цикла приложений, в том числе на этапе разработки, в отличие от подхода, основанного на тестировании, выполняемом перед и после развертывания приложения.
Один из инструментов, BinScope Binary Analyzer, анализирует бинарный код с целью проверки его соответствия требованиям SDL для компиляторов и сборщиков программ. Он также следит за использованием строго именованных скомпонованных модулей и актуальностью инструментов сборки. "По существу, он проверяет выполнение различных требований SDL, таких как наличие флага, который служит для предотвращения переполнения буфера", - пояснил Дэвид Лэдд, старший менеджер группы Microsoft Security Development Lifecycle.
Переполнение буфера позволяет хакерам получить контроль над приложением. "Возможность предотвратить это еще на этапе компиляции очень полезна с точки зрения обеспечения безопасности", - сказал Лэдд. В BinScope Binary Analyzer предусмотрены также средства, которые не позволяют злоумышленникам воспользоваться данным инструментом для анализа программного обеспечения в поисках его уязвимых мест.
Второй инструмент, Microsoft MiniFuzz File Fuzzer, реализует методику тестирования с использованием случайных данных (fuzz-testing). Тестировщики проверяют поведение приложения, выполняя синтаксический разбор файлов, которые были преднамеренно испорчены. Тесты на безопасность служат для того, чтобы проверить работу кода с потоками различной структуры и определить, представляет ли возникший в результате сбой потенциальный риск для безопасности приложений.
"Если вы найдете ошибку в файле, которая может угрожать безопасности вашего приложения, вы сможете принять меры для ее устранения", - пояснил Лэдд.
Однако аналитики сомневаются в том, что данные инструменты будут полезны для разработчиков из корпоративной среды. Как считает старший аналитик Forrester Research Майкл Гуалтьери, эти специалисты, скорее всего, будут использовать технологии Java и .Net с Visual Basic.Net и C#, а не Си или C++.
"Эти инструменты более полезны для производителей системного программного обеспечения, чем для большинства корпоративных ИТ-отделов", - полагает Гуалтьери. Вместе с тем, по его словам, выпустив такие инструменты, в Microsoft еще раз продемонстрировали свое искреннее стремление сделать процесс SDL реальностью.
В Microsoft заявили, что многие из проверок, реализованных в BinScope Binary Analyzer, интегрированы в разработку на платформе .Net. Ранее корпорация уже выпустила инструментарий управления угрозами и шаблон управления процессами, ориентированные на SDL.