Microsoft ofrece herramientas para un desarrollo de aplicaciones seguro
Microsoft ha lanzado dos herramientas para ayudar a los programadores Windows a construir de manera más segura sus aplicaciones en los lenguajes de programación C y C++. Ofrecidas sin cargo, estas herramientas permiten la implementación del proceso SDL (Security Development Lifecycle) de Microsoft para añadir seguridad y privacidad en los ciclos de desarrollo y como oposición a las pruebas durante el predesarrollo y post desarrollo de una aplicación.
Una de las herramientas, BinScope Binary Analyzer, analiza el código binario para validar la adherencia a los requerimientos SDL para los compiladores y los enlazadores. “Básicamente, lo que hace es comprobar que funcionan varios de los requerimientos SDL como las etiquetas GS, que se utilizan para evitar las sobrecargas del buffer”, explica David Ladd, director del programa de seguridad en el equipo de desarrollo en Microsoft. Las sobrecargas del buffer permiten a los atacantes tomar el control de una aplicación, tal y como señala Ladd.
Mientras, la otra herramienta, Microsoft MiniFuzz File Fuzzer, implanta una técnica de pruebas con la que los analizadores comprueban el comportamiento de la aplicación al analizar la sintaxis archivos que han sido corrompidos de manera intencionada. Las pruebas de seguridad son aplicadas para tomar el código de diferentes flujos e identificar si los errores que resultan pueden ser investigados como potenciales riesgos de seguridad de las aplicaciones.
Estas herramientas, así como la documentación que conllevan, se pueden descargar desde la página web de Microsoft.