對于許多開發(fā)人員和企業(yè)來說，發(fā)現(xiàn)現(xiàn)有軟件中潛在的安全漏洞已經(jīng)成為一個非常繁雜、耗時的過程。

以往，大部分公司都會專門聘請網(wǎng)絡安全專家來解決這些問題，但面對日益漸多且復雜的軟件程序，很多專家也顯得力不從心。而近日，微軟發(fā)布了一個“AI安全風險檢測”工具，可以即時、高效地解決這些問題，保護系統(tǒng)免受攻擊。

該工具借助了云的功能，在內部擴展了當前的測試協(xié)議，為開發(fā)人員提供可能錯過的解決問題的方法。據(jù)微軟稱，如果軟件有任何問題，企業(yè)可以通過該工具來主動處理并做好應急準備。

Microsoft將其描述如下：

微軟安全風險檢測（Microsoft Security Risk Detection，以前稱為Project Springfield）是一套基于云的工具，開發(fā)者可以利用該云服務查找即將發(fā)布或已投入使用的軟件中的錯誤和其它安全漏洞。在軟件發(fā)布之前就找到其中漏洞，可以為企業(yè)省去軟件發(fā)布后再修復錯誤、處理崩潰或應對攻擊等一系列麻煩。

微軟研究員David Molnar所領導的團隊開發(fā)了這套風險檢測工具。Molnar表示，風險檢測服務可以作為輔助手段，幫助開發(fā)人員借助人工智能來查找安全問題，當查找出漏洞之后，開發(fā)人員可以使用其它工具來修復漏洞、降低風險或探索其它解決方案。

David Molnar領導組織提供Microsoft安全風險檢測。

記者了解到，微軟安全風險檢測服務的特別之處在于它能發(fā)現(xiàn)可能觸發(fā)崩潰并引發(fā)安全隱患的因素。每次運行時，它都會重點關注最為關鍵的區(qū)域，以尋找其它未采用智能方法的工具可能會忽視的漏洞。

Molnar表示，這套工具非常適合獨立開發(fā)軟件、修改現(xiàn)成軟件或使用開源產品許可證的企業(yè)。

DocuSign公司是一家?guī)椭脩粢噪娮臃绞蕉辉僖约埞P方式簽署文件的公司。他們參加了2016年秋季發(fā)布的Windows版風險檢測服務的小范圍試用。DocuSign軟件安全高級總監(jiān)John Heasman表示，這套工具幫助他們識別出了其它方式可能無法發(fā)現(xiàn)的潛在錯誤。

“這類解決方案很少有這么低的誤報率。”Heasman說。

Heasman表示，DocuSign使用微軟安全風險檢測工具來查找已購買或獲得許可的軟件中的錯誤和漏洞，公司希望通過將這套工具整合到一款用于處理用戶上傳文檔的軟件中，來檢測文檔中可能包含的惡意內容，并且可以主動發(fā)現(xiàn)問題、避免潛在的攻擊。

Molnar說，事實證明微軟安全風險檢測工具能夠極大地幫助那些正在經(jīng)歷大規(guī)模數(shù)字化轉型的公司，以及幫助那些將新技術納入到以往純憑手工完成或僅使用初級技術的業(yè)務流程中。

他指出，這些公司的員工可能是各自核心業(yè)務領域內的世界級專家——無論是釀造啤酒還是出售冰淇淋，但他們未必有專職人員對即將使用的新軟件進行復雜的安全測試。

據(jù)了解，一直以來，微軟都在使用微軟安全風險檢測服務中的一個關鍵組件——SAGE，它已用于檢測多個版本的Windows、Office和其他微軟產品中的錯誤和漏洞。不僅如此，微軟多個產品團隊目前也都在使用該風險檢測工具，并將其作為微軟安全開發(fā)生命周期的一部分。

微軟安全風險檢測服務捆綁了SAGE以及其他模糊檢測工具，擁有友好的用戶界面及其他工具，且目前在微軟Azure云中運行。

記者了解到，Microsoft將在今年夏末通過Microsoft Services開始提供該服務，并將與其他“模糊工具”捆綁在一起，包括Microsoft的SAGE風險檢測工具。有興趣的開發(fā)人員可以在網(wǎng)站上注冊Windows或新的Microsoft安全風險檢測的Linux預覽。