微軟開始預覽雲端版模糊測試服務Project Springfield

william77

Springfield專案為基於Azure的雲端模糊測試服務，可協助企業在產品上市前，先在內部進行模糊測試，以找出產品中潛藏的漏洞，微軟並採用人工智慧，以訓練該專案找出一般模糊測試工具可能錯過的漏洞。

微軟本周在Microsoft Ignite會議上發表了Springfield專案（Project Springfield）的首個預覽版，這是一個基於Azure的雲端模糊測試服務，可協助開發人員搜捕軟體中的安全漏洞。
微軟研究人員指出，若可在產品上線前找到並修補嚴重的漏洞，將可節省大量的修補成本，以作業系統或生產力產品為例，相關的修補成本可能高達100萬美元。
Springfield專案科學長Patrice Godefroid則說，愈能自己找到更多的漏洞，就愈能在軟體上線前完成修補。微軟自2000年起便開始利用Springfield專案的核心元件SAGE來測試各種產品，包括Windows 7在內，雖然也有其他人負責檢查Windows 7的漏洞，但SAGE的模糊測試總計找出了1/3的漏洞。
模糊測試只是為數眾多的安全測量工具之一，負責Springfield專案的微軟研究人員David Molnar指出，模糊測試適用於經常合併各種不可太靠的輸入內容時，包括文件、圖片、影片或各種資訊，主要尋找任何可替駭客開啟攻擊大門的安全漏洞。
Springfield專案尋找漏洞的流程很簡單：先上傳二進位檔，再執行多個不同的模糊測試，找出有價值的漏洞，最後修補漏洞 。如同拋出各種隨機及意外的輸入內容到軟體中，以檢視這些不可預見的行為是否會導致軟體當掉。
此外，該專案運用了人工智慧技術，詢問一系列的”what if”問題，每次執行時都會蒐集資料並加以淬煉，有機會找出其他模糊工具可能錯過的漏洞。
其實模糊工具並非新意，此次微軟除了加入人工智慧技術之外，也將該工具搬上Azure雲端平台，相較於在伺服器端進行測試，Springfield專案將可帶來20倍的測試規模。目前該專案只支援Windows程式，預計很快就會支援Linux， 同時鼓勵使用者報名參與預覽測試。

panups

  

shero