De nouveaux outils de sécurité gratuits pour les développeurs chez Microsoft

Dans le cadre de sa méthode SDL (Security Development Lifecycle), qui vise à rassembler les meilleures pratiques de développement en terme de sécurité et de confidentialité, Microsoft vient de livrer deux nouveaux outils permettant de renforcer la fiabilité des applications.

MiniFuzz File Fuzzer permet aux développeurs de créer aisément des tests aléatoires. Il automatise les tests en transmettant au code des flux de données, afin de le mettre à l’épreuve et de détecter d’éventuelles failles de sécurité liées à des crashes de l’application (qui peuvent mener à une corruption de la mémoire, exploitable par du code malveillant).

L’éditeur propose également le BinScope Binary Analyzer, un outil capable d’analyser le code dans sa forme binaire. Il vérifie que toutes les recommandations SDL ont bien été appliquées au logiciel. Cet outil ne saurait détecter toutes les fautes de programmation, mais il repérera les erreurs de codage les plus courantes, pouvant mener à des failles de sécurité.
Ces deux outils (et bien d’autres encore) sont accessibles gratuitement sur cette page web du site MSDN. Microsoft nous informe enfin qu’un nouveau document est accessible en ligne : Manually Integrating the SDL Process Template expliquera aux utilisateurs de Visual Studio Team System (VSTS), comment intégrer le modèle de processus SDL au sein de projets existants.