Herramientas SDL: MiniFuzz y BinScope


Desde hace unas semanas el equipo de Herramientas de Seguridad del SDL (Security Development Lifecycle) de Microsoft liberó un par de herramientas a tener en cuenta:

MiniFuzz

MiniFuzz es una herramienta de prueba básica diseñada para ayudar a detectar fallas de código que puede exponer vulnerabilidades de seguridad en el código de manipulación de archivos. Esta herramienta crea múltiples variaciones aleatorias del contenido de los archivos y los alimenta a la aplicación en un intento de exponer un comportamiento inesperado de la aplicación.

Debido a que el fuzz testing es eficaz en la búsqueda de errores, es una actividad necesaria en la fase de verificación del SDL de Microsoft. Con el lanzamiento de MiniFuzz, se dispone ahora de un fuzzer de archivos simple, disponible para ayudar en los esfuerzos de desarrolladores por encontrar más errores en el código antes de que sea liberado a los clientes.

clip_image010

BinScope

El analizador binario BinScope es una herramienta de verificación que analiza los binarios para asegurarse que se han construido en el cumplimiento con los requerimientos y recomendaciones del SDL de Microsoft. BinScope verifica que los señalamientos (flags) del compilador/enlazador requeridos por el SDL hayan sido establecidos, que los ensamblados con nombre están en uso, y que las herramientas de construcción actualizadas están en su lugar.

BinScope también informa sobre constructores peligrosos que están prohibidos o desaconsejados por el SDL (por ejemplo, de lectura y escritura de secciones compartidas y los punteros a una función global). Consulte la documentación de BinScope para una lista más detallada de las verificaciones realizadas por la herramienta.

BinScope está disponible en dos formas: como un ejecutable independiente, y como add-on de Visual Studio.

clip_image002

clip_image006

Descarga éstas y otras herramientas de seguridad desde el Repositorio de herramientas del SDL.

Adicionalmente, Jeremy Dallman nos anuncia la disponibilidad de una guía de 7 pasos para la integración manual de los elementos clave de la Plantilla de Procesos de SDL en un proyecto existente de Visual Studio Team System.

Descarga: Manual Integration of the SDL Process Template.

+info:

Acerca de Willy Mejia

Developer, Techie, Human... http://about.me/willyxoft
Esta entrada fue publicada en .NET, Seguridad. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s