Kostenlose Tools fördern sichere Anwendungsentwicklung Microsoft bietet Analyse-Tools für Software-Entwickler und -Tester an

Redakteur: Stephan Augsten

Windows-Betriebssysteme werden immer öfter über Schwachstellen in Drittanbieter-Software angegriffen. Die beiden Security-Tools „Bin Scope Binary Analyzer“ und „MiniFuzz File Fuzzer“ helfen künftig bei der sicheren Anwendungsentwicklung. Zugleich will Microsoft seinen Sicherheitsansatz mit dem Whitepaper „Manual Integration of the SDL Process Template“ in die Unternehmen tragen.

Firmen zum Thema

Microsoft macht seinen SDL-Prozess zur sicheren Software-Entwicklung für Drittanbieter zugänglich und bietet entsprechende Security-Tools an.
Microsoft macht seinen SDL-Prozess zur sicheren Software-Entwicklung für Drittanbieter zugänglich und bietet entsprechende Security-Tools an.
( Archiv: Vogel Business Media )

Neue Sicherheitsstandards bei Microsoft haben dafür gesorgt, dass Windows-Betriebssysteme immer seltener direkt angegriffen werden. Hacker und Malware-Autoren konzentrieren sich zunehmend auf Schwachstellen in Drittanbieter-Software.

Deshalb bietet Trustworthy Computing Group von Microsoft zwei neue Hilfsprogramme an, die den Security Development Lifecycle (SDL – eine Kombination von Technologie, Prozessen und Anwendungsbeispielen für mehr Sicherheit) unterstützen sollen. BinScope Binary Analyzer und MiniFuzz File Fuzzer sollen Entwicklern und Software-Testern dabei helfen, Sicherheitsrisiken in ihren Programmen vor der Veröffentlichung zu beheben.

  • Der Microsoft Bin Scope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das Security-Tool verhindert somit gängige Sicherheitsfehler bei der Codierung.
  • Der Microsoft MiniFuzz File Fuzzer ist eine Lösung für Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit verschiedenen Flow Patterns. Dadurch lässt sich im Entwicklungsprozess früh festgestellen, ob etwa Programm-Abstürze als Sicherheitsrisiken untersucht werden müssen.

Integration des Security Development Lifecycle

Darüber hinaus steht mit dem Whitepaper „Manual Integration of the SDL Process Template“ eine Anleitung für die Einführung des SDL-Prozesses zum Download bereit. Das Whitepaper unterstützt Entwickler, die mit Microsofts Entwicklungsumgebung Visual Studio Team System arbeiten, bei der schrittweisen Integration des Prozesses in bestehende Projekte. Ziel ist es, ein robustes Sicherheitsprogramm in die Entwicklungsumgebungen zu integrieren.

Der Security Development Lifecycle ist ein Kern-Element der Trustworthy-Computing-Initiative von Microsoft. Der Prozess wurde zunächst geschaffen, um Microsoft-intern sichere Anwendungen zu liefern und Attacken abzuwenden. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Firmeneinsatz konzipiert ist, muss den SDL-Prozess durchlaufen.

SDL-Whitepaper, Bin Scope Binary Analyzer und MiniFuzz File Fuzzer stehen kostenlos auf der Microsoft-Homepage bereit. Interessierte finden dort auch weitere Informationen zum Security Development Lifecycle von Microsoft.

(ID:2041197)