Microsoft mejora la seguridad del desarrollo con Attack Surface Analyzer

Microsoft está ampliando su oferta de herramientas y servicios SDL (security development lifecycle) con el lanzamiento de la beta de una herramienta que analiza superficie de ataque, así como nuevos servicios de consultoría para el desarrollo seguro.

Microsoft Attack Surface Analyzer es una herramienta de verificación SDL para desarrolladores y profesionales de TI que identifica si las aplicaciones recientemente desarrolladas o instaladas cambian inadvertidamente la superficie de ataque de un sistema operativo de Microsoft.

Esto ocurre porque con el tiempo las plataformas de Windows cambian al añadirse software nuevo que no sólo pueden agregar nuevas funcionalidades y capacidades nuevos, sino introducir cambios que al final pueden ser riesgos de seguridad.

La herramienta Attack Surface Analyzer, gratuita, puede descargarse desde la página web de Microsoft y es la misma que utiliza el equipo de desarrollo interno de productos de Microsoft.

David Ladd, director de seguridad de Microsoft, ha comentado en un post que hace tiempo que a su compañía se le ha solicitado una aplicación para validar la superficie de ataque, pero que valorar este parámetro de una plataforma de aplicaciones es un proceso “intimidador”, y que por eso se ha tardado en dar respuesta a la demanda existente. Ahora, con el lanzamiento de Attack Surface Analyzer se pretende facilitar el proceso y ayudar a valorar la seguridad de una aplicación.

Además de lanzar Attack Surface Analyzer, Microsoft ha actualizado sus herramientas Threat Modeling y BinScope Binary Analyzer, que se ofrecen de manera gratuita. La herramienta de modelado de amenazas ofrece sugerencias para la creación y análisis de modelos de amenazas, mientras que el analizador binario compruébalos archivos binarios para asegurarse de que están construidos siguiendo las especificaciones y recomendaciones SDL.

Por último destacar que la opción de servicios de consultoría relacionado con SDL empezará a ofrecerse a partir de febrero. El objetivo de estos servicios es mejorar la seguridad del software y reducir tanto el riesgo para los clientes como los costes de desarrollo. Los servicios se ofrecerán a tráves de Microsoft Services.