Microsoft odhaluje aktualizace pro svou iniciativu Secure Future Initiative, včetně většího využití CodeQL

V listopadu 2023 Microsoft poprvé oznámil iniciativu Secure Future Initiative (SFI) . Jednalo se o plán na zlepšení úsilí společnosti v oblasti kybernetické bezpečnosti, aby byly její systémy v bezpečí před hackery. Společnost Microsoft dnes oznámila aktualizaci svých snah o SFI, které zahrnují rozšířené použití jeho modulu pro analýzu kódu CodeQL. Při použití CodeQL vytvoří databázi kódu, takže analýza zranitelného kódu bude snazší.

V příspěvku na blogu Microsoft uvedl, že použití CodeQL nakonec analyzuje 100 procent jeho komerčních produktů. Už se používá k analýze 86 procent úložišť kódu Azure DevOps. Společnost také říká, že byla použita ke kontrole více než jedné miliardy řádků zdrojového kódu v roce 2023.

Microsoft však připouští, že posledních 14 procent jeho kódu, na který se v současnosti CodeQL nevztahuje, „bude složitá, mnohaletá cesta kvůli specifickým úložištím kódu a inženýrským nástrojům
vyžadujícím další práci“.

Společnost také uvedla, že rozšířila používání své knihovny Microsoft Authentication Library (MSAL) pro Microsoft 365 na Windows, macOS, iOS a Android. Bylo přidáno:

Tato integrace zajišťuje, že aplikace Office jsou podporovány jednotným mechanismem ověřování. V ekosystému Azure, který zahrnuje kritické nástroje, jako je Visual Studio, Azure SDK a Azure CLI, byl MSAL plně přijat, což podtrhuje náš závazek zajistit a zefektivnit procesy ověřování v rámci našich vývojových nástrojů.

Microsoft říká, že do konce roku 2024 plánuje „plnou automatizaci správy klíčů Microsoft Entra ID a Microsoft Account (MSA)“. To bude zahrnovat uložení těchto klíčů pomocí hardwarových bezpečnostních modulů (HSM) pro extra ochranu.

Microsoft také oznámil, že daroval nadaci Rust Foundation 1 milion dolarů. Nezisková skupina, která byla spuštěna v roce 2021 , pomáhá udržovat a rozvíjet oblíbený programovací jazyk. Kromě toho poskytne dar ve výši 3,2 milionu dolarů projektu Alpha-Omega , který byl vytvořen společně s Googlem, aby pomohl zajistit bezpečnější projekty s otevřeným zdrojovým kódem.