微软推出一种基于云的工具, 用AI检测软件安全风险

Project Springfield后面的团队包括Stas Tishkin，William Blum，Marc Greisen，Chemar Omar Keita，Dave Tamasi，David Molnar（坐下），Theresa Pacheco，Marina Polishchuk，Patrice Godefroid和Ram Nagaraja。

对于许多开发人员和企业来说，发现现有软件中潜在的安全漏洞已经成为一个非常繁杂、耗时的过程。

以往，大部分公司都会专门聘请网络安全专家来解决这些问题，但面对日益渐多且复杂的软件程序，很多专家也显得力不从心，而近日微软发布了一个“AI安全风险检测”工具，可以保护即时、高效地解决这些问题，保护系统免受攻击。

该工具借助了云的功能，在内部扩展了当前的测试协议，为开发人员提供了可能错过的解决问题的方法。据微软称，如果软件有任何问题，企业可以通过该工具来主动处理并做好应急准备。

Microsoft将其描述如下：

微软安全风险检测（Microsoft Security Risk Detection，以前称为Project Springfield）是一套基于云的工具，开发者可以利用该云服务查找即将发布或已投入使用的软件中的错误和其它安全漏洞。在软件发布之前就找到其中漏洞，可以为企业省去软件发布后再修复错误、处理崩溃或应对攻击等一系列麻烦。

微软研究员David Molnar所领导的团队开发了这套风险检测工具。Molnar表示，风险检测服务可以作为辅助手段，帮助开发人员借助人工智能来查找安全问题，当查找出漏洞之后，开发人员可以使用其它工具来修复漏洞、降低风险或探索其它解决方案。

了解到，微软安全风险检测服务的特别之处在于它能发现可能触发崩溃并引发安全隐患的因素。每次运行时，它都会重点关注最为关键的区域，以寻找其它未采用智能方法的工具可能会忽视的漏洞。

Molnar表示，这套工具非常适合独立开发软件、修改现成软件或使用开源产品许可证的企业。

DocuSign公司是一家帮助用户以电子方式而不再以纸笔方式签署文件的公司。他们参加了2016年秋季发布的Windows版风险检测服务的小范围试用。DocuSign软件安全高级总监John Heasman表示，这套工具帮助他们识别出了其它方式可能无法发现的潜在错误。

“这类解决方案很少有这么低的误报率。”Heasman说。

Heasman表示，DocuSign使用微软安全风险检测工具来查找已购买或获得许可的软件中的错误和漏洞，公司希望通过将这套工具整合到一款用于处理用户上传文档的软件中，来检测文档中可能包含的恶意内容，并且可以主动发现问题、避免潜在的攻击。

Molnar表示，事实证明微软安全风险检测工具能够极大地帮助那些正在经历大规模数字化转型的公司，以及帮助那些将新技术纳入到以往纯凭手工完成或仅使用初级技术的业务流程中。

他指出，这些公司的员工可能是各自核心业务领域内的世界级专家——无论是酿造啤酒还是出售冰淇淋，但他们未必有专职人员对即将使用的新软件进行复杂的安全测试。

自本世纪前十几年的中期以来，微软自身一直都在使用微软安全风险检测服务中的一个关键组件——SAGE，它已用于检测多个版本的Windows、Office和其他微软产品中的错误和漏洞。不仅如此，微软多个产品团队目前也都在使用该风险检测工具，并将其作为微软安全开发生命周期的一部分。

微软安全风险检测服务捆绑了SAGE以及其他模糊检测工具，拥有友好的用户界面及其他工具，且目前在微软Azure云中运行。

了解到，Microsoft将在今年夏末通过Microsoft Services开始提供该服务，并将与其他“模糊工具”捆绑在一起，包括Microsoft的SAGE风险检测工具。有兴趣的开发人员可以在网站上注册Windows或新的Microsoft安全风险检测的Linux预览。

via blogs.microsoft.编译