Microsoft SRD soll Entwicklern bei der Fehlersuche helfen

Der Cloud-Dienst Microsoft Security Risk Detection, oder kurz Microsoft SRD, soll mit Hilfe von künstlicher Intelligenz Schwachstellen und Fehler in Software finden.

Der Begriff „Künstliche Intelligenz“ (KI oder AI) wird aktuell von Sicherheitsanbietern in unterschiedlichstem Zusammenhang verwendet. Microsofts neuer Cloud-Dienst Security Risk Detection soll automatisierte Logikroutinen verwenden, um Software beziehungsweise Binaries untersuchen zu können. Die künstliche Intelligenz kommt ins Spiel, wenn es darum geht, zu bestimmen, wo und wie die Anwendung am besten während der Ausführung überprüft werden kann, um die kritischsten Fehler zu finden. Der Dienst war in der Entwicklungsphase als Project Springfield bekannt.

Ob es sich nun tatsächlich um künstliche Intelligenz handelt oder nicht – Microsoft Security Risk Detection bietet Entwicklern die Möglichkeit, Fuzzing als Dienst zu nutzen. So können beispielsweise unerwartete Eingaben an die Anwendung überstellt werden, oder Aktionen ausgeführt werden, die nicht typisch für eine normale Ausführung sind. Dies kann ein sehr effektiver Ansatz sein, um Fehler in Anwendungen zu finden, ohne über den ursprünglichen Quellcode zu verfügen. Zudem kann man so Schwachstellen auf die Schliche kommen, die bei anderen Testmethoden im Verborgenen geblieben wären.

Microsoft SRD arbeitet als Cloud-Dienst. Entwickler können ihre Programme in eine Microsoft-Sandbox-Umgebung hochladen und diese dort in Laufzeitumgebungen ausführen. Das Angebot konzentriert sich zunächst auf Microsoft-Plattformen. In Sachen Linux-Unterstützung kann man sich aber bereits für eine Preview registrieren.

Wie Microsoft SRD Entwicklern helfen kann

Microsoft Security Risk Detection kann denjenigen Entwicklern, die noch über keine Fuzzing-Analyse verfügen, dabei helfen, sich relativ einfach diese Testmethode zu erschließen. Einfach den Binärcode hochladen, ausführen und den Bericht in Empfang nehmen. In der Realität sind zwar ein paar wenige Schritte mehr notwendig, aber es ist allemal einfacher, als eine entsprechende Lösung in der eigenen Umgebung zu implementieren.

Microsoft hat in den Dienst leistungsfähige Analysefunktionen integriert. Damit kann dieses Tool Entwickler dabei unterstützen, Probleme aufzuspüren, an die sie zuvor nicht gedacht haben. So lassen sich Sicherheitskontrollen über die Entwicklungszyklen hinweg einrichten. Damit kann der Cloud-Dienst wertvolle Hilfe bieten. Anwendungen werden mehr denn je angegriffen und Entwicklungsteams haben alle Hände voll zu tun, um Anwendungen vor Code- und Logikfehlern zu schützen. Fuzzing kann dazu beitragen, dass Software sicherer wird. Mit einer augenscheinlich simpel zu bedienenden Plattform kann Microsoft SRD es für viele Entwickler vereinfachen, eine Fuzz-Testing-Lösung zu nutzen.

In Security Risk Detection steckt laut Microsoft zudem jede Menge Know-how aus dem großen Erfahrungsschatz, den Microsoft in Sachen Entwicklung mitbringt. Die Erfahrung, die Microsoft bei der Entwicklung der eigenen Plattformen und Anwendungen gesammelt hat, sind in die Intelligenz dieses Dienstes eingeflossen.

Der mit einem Assistenten ausgestattete Dienst fordert Entwickler auf, bestimmte Testfälle und Szenarien zu durchlaufen. Damit lassen sich vermutlich mehr Sicherheitsprobleme und mögliche Absturzzustände aufspüren, als wenn Entwickler dies in Eigenregie angehen. Die dort verwendeten Testfälle lassen sich natürlich auch nutzen, um dann intern Probleme zu reproduzieren und so hybride Testmodelle zu etablieren.

In der Entwicklungsphase wurde Microsoft Security Risk Detection als Project Springfield geführt. Entwickler können ihren Binärcode im Cloud-Dienst testen lassen.
Abbildung 1: In der Entwicklungsphase wurde Microsoft Security Risk Detection als Project Springfield geführt. Entwickler können ihren Binärcode im Cloud-Dienst testen lassen.

Nach Angaben von Microsoft kommt die KI ins Spiel, in dem sie im Zusammenhang mit Fehlern und Anwendungsabläufen spezifische Muster und Szenarien erkennt und so die bestmöglichen Tests vorschlägt. Diese Tests sollen sich zudem im Lauf der Zeit verbessern, wenn sich die Anwendung verändert.

Tools wie Microsofts SRD werden für eine größere Akzeptanz von derlei Cloud-basierten Implementierungen sorgen. Entwickler müssen keine interne Infrastruktur aufbauen, um derartige Testverfahren durchführen zu können. Microsoft ist zudem in der Lage, die Fähigkeiten der Plattform kontinuierlich zu verbessern, ohne dass Entwickler hierfür Updates durchführen müssen. Zudem bietet die Cloud eine bessere Skalierbarkeit als entsprechende On-Premises-Lösungen. Entwicklungsteams können so mehrere Versionen und Anwendungen simultan testen, ohne Wartezeiten in Kauf nehmen zu müssen. Ob Microsoft SRD ein Erfolg wird, bleibt abzuwarten. Ohne Frage, sind derlei Dienste aber sehr sinnvoll.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Microsoft: Fuzz-Testing als Cloud-Dienst

Was macht ein Penetration Tester?

Die richtige Zusammenarbeit von DevOps und Security

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

So optimieren Sie hybride IT-Infrastrukturen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close