【赛迪网讯】北京时间11月1日消息,微软上周四(10月30日)表示,它计划公开发布其内部使用的威胁模拟工具,以帮助软件开发人员制作更安全的软件。微软安全工程与通信部门的高级计划经理Michael Howard在洛杉矶举行的微软专业开发人员大会上做演示的时候表示,在输入应用程序运行的环境和使用方案等信息之后,这个工具能够以图表的方式显示威
胁。
微软似乎经常把自己本部使用的工具公开发表。微软还将发布一个分析源文本共同错误的工具Prefix和一个源文本的工具Prefast。
微软官员表示,在微软专业开发人员会议上还向会议参加者提供了一个名为FxCop的工具,这个工具可以免费下载。FxCop原来是用来强制执行软件设计规则的,现在用来分析代码的安全问题。
安全研究公司Pivx Solutions的高级研究员Thor Larholm对微软将自己用来开发软件的工具拿出来与人们共享的举措表示欢迎。但是,他说,只有工具还不足以解决问题。
Larholm说,微软发布的这些工具看起来是一个很好的起点,可以从更高的水平观察你的应用程序可能受到的威胁。然而,最终要解决的是你如何处理这些威胁。观察微软的内部安全开发工具如何适用于外部世界是很有趣的。
微软自己曾使用这种威胁模拟工具。例如,微软销售锁定IE浏览器的“Windows Server 2003”就是根据这个威胁模拟工具作出的决定。Howard说,根据威胁模型,我们减少了攻击界面。威胁模拟是很重要的。如果你不了解你可能受到的威胁,你就不能制作出安全的软件。
这个威胁模拟软件已经准备好向外界发布,并将很快在微软的开发人员在线社区“GotDotNet”技术网站向开发人员提供。