Microsoft разкриха през седмицата Secure Future Initiative – широкомащабна вътрешна

Microsoft разкриха през седмицата Secure Future Initiative – широкомащабна вътрешна самодейност, целяща повишение на сигурността на продуктите на компанията посредством вътрешни стратегии и дейности. Една от първите от упоменатите начинания се явява проект за по-ефективно търсене и намиране на недостатъци в кода и продуктите на компанията, както и отстраняването на такива, в случай че те бъдат засечени в хода на стартирането на дадения артикул на пазара. Сред другите дейности, които Microsoft счита да предприеме е усилване на инспекцията при опит за регистриране на клиенти и консуматори на компанията в дадена услуга или артикул. Secure Future Initiative идва в отговор на два съществени случая, свързани с мрежата на Microsoft, които доведоха до сериозна рецензия от страна на обществени персони и американските политици. Става въпрос за случая, при който обвързвана с китайското държавно управление кибершпионска организация употребява недостатъци в дизайна на Exchange Online, с цел да компрометира пощенските кутии на представители на американското държавно управление, както и случай, при който компанията е сложила в риск конфиденциални данни, оставяйки без отбрана 38 терабайта информация в недобре конфигурирано GitHub вместилище, предава SiliconAngle.

Първата стратегия, по която Microsoft ще стартира работа ще е понижаване на появяването на уязвимости в своите артикули. Това ще включва да вземем за пример стимулиране на разработчиците им да употребяват програмни езици, в които се обръща внимание над сигурността на паметта, като Java, C# и Python. Кодът, написан на тези езици, по предписание е по-малко предразположен на избрани видове неточности, които може да се употребяват от хакери, с цел да откраднат информация.

Компанията възнамерява да разшири отбраната на продуктите си и по други способи. Като да вземем за пример тактика, която да накара техните разработчици да употребяват повече CodeQL – инструмент с открит код, основан от GitHub, който автоматизирано сканира кода за съществуването на уязвимости. Предвижда се също по този начин и процесите по търсене на уязвимости в сигурността на вътрешните системи, употребявани от компанията. Що се отнася до към този момент пропуснатите във към този момент оповестените артикули уязвимости, то Microsoft ще стартират да употребяват специфична методология с името dSDL. Тя разчита на CI/CD практиките – техники, помагащи за публикуването на софтуерни актуализации до няколко пъти на ден посредством автоматизиране на сегашните процеси по налагане на обновления, които изискват време и повече човешка интервенция.

От потребителска страна, самодейността планува да стартира да задава по дифолт по-защитени настройки, както и да включи потреблението на библиотеките за идентификация на самоличността, като да вземем за пример Microsoft Authentication Library – набор от софтуерни принадлежности, чиято функционалност е да направи по-трудно за хакерите да се вписват в потребителските сметки посредством крадени или подправени записи.