微軟近日宣布了"安全未來計劃"(SecureFutureInitiative),這是一項廣泛的內部工作,旨在提高其產品的安全性。
該項目的首要目標是降低代碼漏洞進入該公司軟件產品的幾率。此外,如果安全漏洞確實進入了產品,微軟還會努力加快修復速度。微軟還計劃加強網絡安全運營的一些其他部分,例如其管理客戶登錄請求的方式。
這一行動是在微軟遭遇了兩起備受矚目的網絡安全事件之后推出的。安全未來計劃的首要任務是減少微軟產品中安全漏洞的出現。為此,公司將讓開發人員更多地使用內存安全編程語言,如Java、C#和Python。用這些語言編寫的代碼不太容易受到某些類型漏洞的影響,而這些漏洞會被黑客用來竊取數據。
應用程序保存數據的RAM被劃分為許多稱為緩沖區(buffer)的小段。內存安全語言會自動管理數據在緩沖區之間的移動。因此,開發人員不必手動編寫內存管理代碼,這意味著出現漏洞的機會更少。
微軟還計劃以其他方式增強其產品的安全性。該公司的開發人員將更廣泛地采用由GitHub開發的開源工具CodeQL,它可以自動掃描代碼查找漏洞。此外,微軟還將簡化威脅建模的方式,即在內部系統中搜索安全漏洞的流程。
除了減少進入生產階段的漏洞數量,微軟還希望能更快地修復開發人員在發布前沒有發現的漏洞。公司設定的目標是將云服務漏洞的修復速度提高一倍。
作為這項工作的一部分,微軟正在推出一種新的、被稱為dSDL的修復方法。它依靠CI/CD(即持續集成和持續交付)軟件來促進安全補丁的快速發布。CI/CD工具可以將部署軟件工作中很多原來耗時費力的手工任務自動化,讓開發人員能夠每天推出多達數次的應用程序更新。
微軟安全執行副總裁CharlieBell在一篇博文中寫道:“我們將采用持續集成和持續交付(CI/CD)的概念,在編碼、測試、部署和運行過程中不斷集成針對新興模式的保護措施。”
微軟的安全未來計劃還有其他內容。該公司計劃為客戶推出更安全的默認設置,并增加對微軟身份驗證庫(MicrosoftAuthenticationLibrary)等身份驗證庫的使用。這些軟件工具可以讓黑客更難以使用竊取或偽造的登錄憑證登錄客戶賬戶。
最后,微軟將把用于支持其部分身份識別功能的加密密鑰轉移到“集成、加固的AzureHSM”。HSM(即硬件安全模塊)是一種耐高溫芯片或服務器,專門用于存儲敏感數據。微軟表示,系統中的加密密鑰會經常刷新,以進一步提高安全性。
Bell詳細介紹說:“簽名密鑰不僅在靜態和傳輸過程中加密,在計算過程中也會加密。”“密鑰的輪換也將是自動化的,允許高頻更換密鑰,完全不存在人為訪問的可能性。”
