Microsoft présente Project Springfield, un détecteur de bogue dans le nuage

À l’occasion de la conférence Ignite, qui se tient du 26 au 30 septembre 2016 à Atlanta, Microsoft a montré en avant-première Project Springfield.

Il s’agit d’un service dans le nuage informatique qui permet de détecter des bogues et des vulnérabilités potentielles de sécurité.

L’application à tester est téléversée dans Microsoft Azure (fichiers binaires, et non fichiers de code source), ainsi qu’un pilote de test, et un ensemble de fichiers d’entrées de base.

Ces fichiers, la logique floue, et des composantes d’intelligence artificielle vont servir à tester l’application avec des entrées inattendues, parfois aléatoires, mais avec des stratégies d’intelligence artificielle pour tenter de deviner quels types d’entrées seraient les plus susceptibles de bloquer le programme ou d’avoir des répercussions pour la sécurité.

En effet, de très nombreuses classes de vulnérabilités sont liées au manque de contrôle des entrées : injection d’instructions SQL, mémoire tampon dépassée, etc.

Parmi les outils qui sont utilisés, on compte SAGE (Scalable Automated Guided Execution, exéccution guidée, automatisée et mise à l’échelle), que Microsoft utilise en interne depuis des années, et qui a notamment permis de trouver et corriger de nombreux bogues dans Windows 7 avant sa parution.

Il avait été présenté par ses concepteurs, Microsoft Research, dans un article de recherche, et depuis, chercheurs comme entreprises cherchaient à mettre la main dessus.

Microsoft qualifie Projet Springfield de ‘million-dollar bug detector’, car la publication de correctifs de sécurité pour une application largement distribuée peut facilement coûter plus d’un million.

Si le service ne peut détecter tous les bogues, elle peut en détecter beaucoup, ce qui est d’autant plus utile qu’il n’y a pas assez de spécialistes de la sécurité pour répondre à la demande des entreprises.

Outre la détection de bogues dans ses propres applications, Microsoft envisage deux autres scénarios d’utilisation: évaluation d’un logiciel tiers avant son achat, et test des applications d’entreprise internes avant de les migrer dans le nuage informatique.

Project Springfield peut actuellement tester les applications pour Windows. Une version pour Linux est prévue pour ‘bientôt’.