Microsoft nabízí vývojářům Attack Surface Analyzer

26. 1. 2011

Sdílet

Microsoft uvolnil bezplatně k dispozici nástroj, který by měl správcům a vývojářům zaručit, že nově vyvíjená nebo instalovaná aplikace nezmění bezpečnostní nastavení Windows a po jejím nastavení nedostane útočník k dispozici nové cesty do systému.

Microsoft Attack Surface Analyzer je v podstatě verifikační nástroj v rámci SDL (security development lifecycle), který potvrdí, že aplikace je ve shodě s příslušným konceptem vývoje bezpečného softwaru.

Nástroj je zdarma ke stažení zde.

Aplikace je prozatím deklarována jako betaverze. Spustit lze pouze na Windows 7, ale sbírá i data o dalších operačních systémech (Vista a obě verze Serveru 2008). Tento nástroj používá Microsoft údajně i interně. Firma uvádí, že kromě vývojářů a správců firemních IT mohou Attack Surface Analyzer využít i auditoři zabezpečení a týmy reagující na bezpečnostní incidenty, kterým umožní lépe pochopit, co se v průběhu útoku dělo.

Microsoft současně nabízí nové verze Threat Modeling a BinScope Binary Analyzer, což jsou aplikace s podobnou funkčností. Také tyto aplikace jsou zdarma (zde).

Nové verze se mají vyznačovat jednodušším použitím pro vývojáře. První z nich kontroluje aplikaci ve vztahu k SDL na úrovni modelu, druhá pak její binární kódy. Threat Modeling tedy spolupracuje hlavně s Microsoft Visio, BinScope Binary Analyzer zase s různými verzemi Visual Studia, ale i vývojovými nástroji třetích stran.

ICTS24

Microsoft kolem svého konceptu SDL začne nabízet i konzultační služby, které mají umožnit vývoj bezpečnějších aplikací.

 

Autor článku