Тема «Programming»
Новые утилиты от Microsoft для разработки надежных программ. (Programming)
Microsoft выпустила две новые бесплатные утилиты, которве помогут сторонним разработчикам в проверке своих программ на соответствие требованиям безопасности. Утилита Minifuzz представляет собой инструмент для нахождения ошибок в коде путем подачи приложению в качестве входных параметров случайных данных. Утилита BinScope Binary Analyzer предназначена для проверки исполняемого кода на соблюдение множества общепринятых правил написания кода.
Согласно стандарту безопасной разработки Microsoft SDL (Secure Development Lifecycle – жизненный цикл безопасной разработки), каждый алгоритм и программный модуль должен проходить масштабную проверку на наличие переполнений буфера и других распространенных уязвимостей путем тестирования случайными входными данными (fuzzing). Если крупные разработчики программных продуктов уже давно внедрили эту технологию для своих производственных процессов, то независимые разработчики до сих пор редко использовали подобные методики. С появлением свободно распространяемой утилиты Minifuzz входной барьер на пути к методике тестирования случайными входными данными значительно снижается.
Еще одна утилита Microsoft BinScope Binary Analyzer обеспечивает расширенную проверку результатов работы программистов путем анализа самих исполняемых файлов. Так, утилита BinScope проверяет, какая версия компилятора использовалась при сборке программы – конечно, для ответственных задач необходимо использовать самую актуальную версию компилятора. Также утилита BinScope уведомит тестировщика о том, что файл был скомпилирован без ключа /GS, который эффективно предотвращает атаки на приложение с использованием переполнения буфера.
Согласно стандарту безопасной разработки Microsoft SDL (Secure Development Lifecycle – жизненный цикл безопасной разработки), каждый алгоритм и программный модуль должен проходить масштабную проверку на наличие переполнений буфера и других распространенных уязвимостей путем тестирования случайными входными данными (fuzzing). Если крупные разработчики программных продуктов уже давно внедрили эту технологию для своих производственных процессов, то независимые разработчики до сих пор редко использовали подобные методики. С появлением свободно распространяемой утилиты Minifuzz входной барьер на пути к методике тестирования случайными входными данными значительно снижается.
Еще одна утилита Microsoft BinScope Binary Analyzer обеспечивает расширенную проверку результатов работы программистов путем анализа самих исполняемых файлов. Так, утилита BinScope проверяет, какая версия компилятора использовалась при сборке программы – конечно, для ответственных задач необходимо использовать самую актуальную версию компилятора. Также утилита BinScope уведомит тестировщика о том, что файл был скомпилирован без ключа /GS, который эффективно предотвращает атаки на приложение с использованием переполнения буфера.