微软正在预览一款名为斯普林菲尔德项目它称之为发现潜在安全漏洞的最复杂工具之一。
Springfield项目使用“whitebox fuzzing”,它在Windows 7开发过程中发现了三分之一的“百万美元”安全漏洞。自2000年代中期以来,Microsoft一直在使用该项目的一个名为SAGE的组件在产品发布前对其进行测试,包括对Windows和Office应用程序进行模糊处理。
在这个项目中,SAGE与其他用于模糊测试的工具捆绑在一起,具有仪表板和其他界面,可供没有广泛安全背景的人使用。测试使用微软的Azure云运行。
通过模糊测试,系统向软件抛出随机输入,以查找不可预见的操作导致软件崩溃的实例。据微软研究人员David Molnar称,这种测试非常适合于定期整合文档、图像、视频或其他不可信信息等输入的软件。找出可能发动恶意攻击或使系统崩溃的不良行为者。Whitebox fuzz测试使用人工智能来询问一系列“如果”的问题,并做出关于什么可能导致崩溃和安全问题的决定。
代码名Springfield以前曾被微软用于现在已不复存在的公司Popfly网页和mashup创建服务. 微软的一位代表说,这两个项目之间没有关系。微软正在向客户提供Springfield项目的预览邀请,并由一个初始小组对其进行免费评估。
这个故事“微软打开了它的‘百万美元’bug查找器”最初由据美国媒体 .