微軟本周在Microsoft Ignite會議上發表了Springfield專案(Project Springfield)的首個預覽版,這是一個基於Azure的雲端模糊測試服務,可協助開發人員搜捕軟體中的安全漏洞。
微軟研究人員指出,若可在產品上線前找到並修補嚴重的漏洞,將可節省大量的修補成本,以作業系統或生產力產品為例,相關的修補成本可能高達100萬美元。
Springfield專案科學長Patrice Godefroid則說,愈能自己找到更多的漏洞,就愈能在軟體上線前完成修補。微軟自2000年起便開始利用Springfield專案的核心元件SAGE來測試各種產品,包括Windows 7在內,雖然也有其他人負責檢查Windows 7的漏洞,但SAGE的模糊測試總計找出了1/3的漏洞。
模糊測試只是為數眾多的安全測量工具之一,負責Springfield專案的微軟研究人員David Molnar指出,模糊測試適用於經常合併各種不可太靠的輸入內容時,包括文件、圖片、影片或各種資訊,主要尋找任何可替駭客開啟攻擊大門的安全漏洞。
Springfield專案尋找漏洞的流程很簡單:先上傳二進位檔,再執行多個不同的模糊測試,找出有價值的漏洞,最後修補漏洞 。如同拋出各種隨機及意外的輸入內容到軟體中,以檢視這些不可預見的行為是否會導致軟體當掉。
此外,該專案運用了人工智慧技術,詢問一系列的”what if”問題,每次執行時都會蒐集資料並加以淬煉,有機會找出其他模糊工具可能錯過的漏洞。
其實模糊工具並非新意,此次微軟除了加入人工智慧技術之外,也將該工具搬上Azure雲端平台,相較於在伺服器端進行測試,Springfield專案將可帶來20倍的測試規模。目前該專案只支援Windows程式,預計很快就會支援Linux, 同時鼓勵使用者報名參與預覽測試。