微軟近日宣布了 "安全未來計(jì)劃"（Secure Future Initiative），這是一項(xiàng)廣泛的內(nèi)部工作，旨在提高其產(chǎn)品的安全性。

該項(xiàng)目的首要目標(biāo)是降低代碼漏洞進(jìn)入該公司軟件產(chǎn)品的幾率。此外，如果安全漏洞確實(shí)進(jìn)入了產(chǎn)品，微軟還會(huì)努力加快修復(fù)速度。微軟還計(jì)劃加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)的一些其他部分，例如其管理客戶登錄請(qǐng)求的方式。

這一行動(dòng)是在微軟遭遇了兩起備受矚目的網(wǎng)絡(luò)安全事件之后推出的。安全未來計(jì)劃的首要任務(wù)是減少微軟產(chǎn)品中安全漏洞的出現(xiàn)。為此，公司將讓開發(fā)人員更多地使用內(nèi)存安全編程語言，如Java、C#和Python。用這些語言編寫的代碼不太容易受到某些類型漏洞的影響，而這些漏洞會(huì)被黑客用來竊取數(shù)據(jù)。

應(yīng)用程序保存數(shù)據(jù)的RAM被劃分為許多稱為緩沖區(qū)（buffer）的小段。內(nèi)存安全語言會(huì)自動(dòng)管理數(shù)據(jù)在緩沖區(qū)之間的移動(dòng)。因此，開發(fā)人員不必手動(dòng)編寫內(nèi)存管理代碼，這意味著出現(xiàn)漏洞的機(jī)會(huì)更少。

微軟還計(jì)劃以其他方式增強(qiáng)其產(chǎn)品的安全性。該公司的開發(fā)人員將更廣泛地采用由GitHub開發(fā)的開源工具CodeQL，它可以自動(dòng)掃描代碼查找漏洞。此外，微軟還將簡(jiǎn)化威脅建模的方式，即在內(nèi)部系統(tǒng)中搜索安全漏洞的流程。

除了減少進(jìn)入生產(chǎn)階段的漏洞數(shù)量，微軟還希望能更快地修復(fù)開發(fā)人員在發(fā)布前沒有發(fā)現(xiàn)的漏洞。公司設(shè)定的目標(biāo)是將云服務(wù)漏洞的修復(fù)速度提高一倍。

作為這項(xiàng)工作的一部分，微軟正在推出一種新的、被稱為dSDL的修復(fù)方法。它依靠CI/CD（即持續(xù)集成和持續(xù)交付）軟件來促進(jìn)安全補(bǔ)丁的快速發(fā)布。CI/CD工具可以將部署軟件工作中很多原來耗時(shí)費(fèi)力的手工任務(wù)自動(dòng)化，讓開發(fā)人員能夠每天推出多達(dá)數(shù)次的應(yīng)用程序更新。

微軟安全執(zhí)行副總裁Charlie Bell在一篇博文中寫道：“我們將采用持續(xù)集成和持續(xù)交付（CI/CD）的概念，在編碼、測(cè)試、部署和運(yùn)行過程中不斷集成針對(duì)新興模式的保護(hù)措施?！?/p>

微軟的安全未來計(jì)劃還有其他內(nèi)容。該公司計(jì)劃為客戶推出更安全的默認(rèn)設(shè)置，并增加對(duì)微軟身份驗(yàn)證庫（Microsoft Authentication Library）等身份驗(yàn)證庫的使用。這些軟件工具可以讓黑客更難以使用竊取或偽造的登錄憑證登錄客戶賬戶。

最后，微軟將把用于支持其部分身份識(shí)別功能的加密密鑰轉(zhuǎn)移到“集成、加固的 Azure HSM”。HSM（即硬件安全模塊）是一種耐高溫芯片或服務(wù)器，專門用于存儲(chǔ)敏感數(shù)據(jù)。微軟表示，系統(tǒng)中的加密密鑰會(huì)經(jīng)常刷新，以進(jìn)一步提高安全性。

Bell詳細(xì)介紹說：“簽名密鑰不僅在靜態(tài)和傳輸過程中加密，在計(jì)算過程中也會(huì)加密?！薄懊荑€的輪換也將是自動(dòng)化的，允許高頻更換密鑰，完全不存在人為訪問的可能性?！?/p>