Microsoft ujawnia aktualizacje swojej inicjatywy Secure Future Initiative, obejmujące szersze wykorzystanie CodeQL

W listopadzie 2023 r. Microsoft po raz pierwszy ogłosił inicjatywę Secure Future Initiative (SFI) . Był to plan mający na celu poprawę wysiłków firmy w zakresie cyberbezpieczeństwa, aby chronić jej systemy przed hakerami. Firma Microsoft ogłosiła dzisiaj aktualizację swoich wysiłków w zakresie SFI, które obejmują szersze wykorzystanie silnika analizy kodu CodeQL. Kiedy jest używany, CodeQL tworzy bazę danych kodu, dzięki czemu analiza podatnego kodu staje się łatwiejsza.

W poście na blogu Microsoft stwierdził, że użycie CodeQL ostatecznie przeanalizuje 100 procent jego produktów komercyjnych. Jest już używany do analizowania 86 procent repozytoriów kodu Azure DevOps. Firma twierdzi również, że w 2023 roku wykorzystano go do sprawdzenia ponad miliarda linii kodu źródłowego.

Microsoft przyznaje jednak, że ostatnie 14 procent kodu, które nie jest obecnie objęte CodeQL, „będzie skomplikowaną, wieloletnią podróżą ze względu na określone repozytoria kodu i narzędzia inżynieryjne
wymagające dodatkowej pracy”.

Firma poinformowała również, że rozszerzyła zastosowanie biblioteki uwierzytelniania Microsoft (MSAL) dla platformy Microsoft 365 w systemach Windows, macOS, iOS i Android. Dodał:

Dzięki tej integracji aplikacje pakietu Office korzystają z ujednoliconego mechanizmu uwierzytelniania. W ekosystemie Azure, obejmującym krytyczne narzędzia, takie jak Visual Studio, Azure SDK i Azure CLI, MSAL został w pełni zastosowany, co podkreśla nasze zaangażowanie w bezpieczne i usprawnione procesy uwierzytelniania w ramach naszych narzędzi programistycznych.

Microsoft twierdzi, że do końca 2024 r. planuje „w pełni zautomatyzować zarządzanie kluczami Microsoft Entra ID i konta Microsoft (MSA). Będzie to obejmować przechowywanie tych kluczy za pomocą sprzętowych modułów zabezpieczeń (HSM) w celu dodatkowej ochrony.

Microsoft ogłosił również, że przekazał fundację Rust Foundation darowiznę w wysokości 1 miliona dolarów. Założona w 2021 roku grupa non-profit pomaga utrzymać i rozwijać popularny język programowania. Ponadto przekaże darowiznę w wysokości 3,2 miliona dolarów na rzecz projektu Alpha-Omega , który powstał wraz z Google, aby pomóc w zwiększeniu bezpieczeństwa projektów oprogramowania open source.