222434

Microsoft veröffentlicht Gratis-Sicherheits-Tools für Entwickler

17.09.2009 | 12:43 Uhr |

Microsoft hat mit BinScope Binary Analyzer und MiniFuzz File Fuzzer Analysewerkzeuge gratis zum Download bereit gestellt, die Software-Entwickler und -Tester beim Auffinden von Sicherheitslücken unterstützen sollen. Außerdem gibt es ein kostenloses Whitepaper zum Download.

Die Trustworthy Computing Group von Microsoft hat Hilfsprogramme vorgestellt, die den Security Development Lifecycle (SDL – eine Kombination von Technologie, Prozessen und Anwendungsbeispielen für mehr Sicherheit) erweitern. Mit dem BinScope Binary Analyzer und dem MiniFuzz File Fuzzer bekommen Entwickler und Software-Tester Werkzeuge, um Sicherheitsrisiken in ihren Programmen noch vor der Veröffentlichung zu beheben – zumindest hofft das Microsoft. Ab sofort steht zudem das Whitepaper "Manual Integration of the SDL Process Template" zum Download bereit, eine Anleitung für die Einführung des SDL-Prozesses.

Der Microsoft Bin Scope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das soll sicherstellen, dass Anwendungen nicht durch gängige Sicherheitsfehler beim Coding verwundbar sind.

Der Microsoft MiniFuzz File Fuzzer ist eine Lösung für Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit verschiedenen Flow Patterns. Auf diesem Wege soll bereits im Entwicklungsprozess festgestellt werden, ob etwa Programm-Abstürze als Sicherheitsrisiken untersucht werden müssen.

In Zusammenarbeit mit der Windows-Entwicklergemeinde hat Microsoft das Whitepaper "Manual Integration of the SDL Process Template" veröffentlicht. Es enthält eine Anleitung zur Integration des SDL für Entwickler, die mit Visual Studio Team System, dem Software-Entwicklungssystem von Microsoft arbeiten. Schritt für Schritt unterstützt es die Entwickler bei der Integration des Prozesses in ihre bestehenden Projekte und hilft somit, ein robustes Sicherheitsprogramm in ihre Entwicklungsumgebungen zu integrieren.

Der Security Development Lifecycle ist ein Kern-Element der Trustworthy Computing Initiative von Microsoft. Der Prozess wurde zunächst geschaffen, um Microsoft-intern sichere Anwendungen zu liefern und Attacken widerstehen zu können. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Unternehmenseinsatz konzipiert ist, muss den SDL-Prozess durchlaufen.

Die Tools und das Whitepaper können unter http://www.microsoft.com/sdl kostenlos heruntergeladen werden. Dort finden Sie auch weitere Informationen zu SDL.

0 Kommentare zu diesem Artikel
222434