Microsoft enthüllt Updates für seine Secure Future Initiative, darunter eine stärkere Nutzung von CodeQL

Im November 2023 kündigte Microsoft erstmals die Secure Future Initiative (SFI) an . Hierbei handelte es sich um einen Plan zur Verbesserung der Cybersicherheitsbemühungen des Unternehmens, um seine Systeme vor Hackern zu schützen. Heute hat Microsoft ein Update zu seinen SFI-Bemühungen angekündigt, zu denen auch die erweiterte Nutzung seiner CodeQL-Codeanalyse-Engine gehört. Bei Verwendung erstellt CodeQL eine Datenbank des Codes, sodass die Analyse anfälliger Codes einfacher wird.

In einem Blogbeitrag sagte Microsoft, dass der Einsatz von CodeQL letztendlich 100 Prozent seiner kommerziellen Produkte analysieren werde. Es wird bereits zur Analyse von 86 Prozent seiner Azure DevOps-Code-Repositories verwendet. Das Unternehmen gibt außerdem an, dass damit im Jahr 2023 mehr als eine Milliarde Zeilen Quellcode überprüft wurden.

Allerdings gibt Microsoft zu, dass die letzten 14 Prozent seines Codes, die derzeit nicht von CodeQL abgedeckt werden, „eine komplexe, mehrjährige Reise sein werden, da bestimmte Code-Repositorys und Engineering-Tools
zusätzliche Arbeit erfordern“.

Das Unternehmen gab außerdem bekannt, dass es die Nutzung seiner Microsoft Authentication Library (MSAL) für Microsoft 365 auf Windows, macOS, iOS und Android ausgeweitet hat. Es fügte hinzu:

Durch diese Integration wird sichergestellt, dass Office-Anwendungen ein einheitlicher Authentifizierungsmechanismus zugrunde liegt. Im Azure-Ökosystem, das wichtige Tools wie Visual Studio, Azure SDK und Azure CLI umfasst, wurde MSAL vollständig übernommen, was unser Engagement für sichere und optimierte Authentifizierungsprozesse innerhalb unserer Entwicklungstools unterstreicht.

Microsoft sagt, dass es plant, bis Ende 2024 „die Verwaltung von Microsoft Entra ID- und Microsoft Account (MSA)-Schlüsseln vollständig zu automatisieren“. Dazu gehört auch die Speicherung dieser Schlüssel mit Hardware Security Modules (HSMs) für zusätzlichen Schutz.

Microsoft gab außerdem bekannt, dass es eine Million US-Dollar an die Rust Foundation gespendet hat. Die 2021 gegründete gemeinnützige Gruppe hilft bei der Pflege und Weiterentwicklung der beliebten Programmiersprache. Darüber hinaus werden 3,2 Millionen US-Dollar an das Alpha-Omega-Projekt gespendet , das zusammen mit Google gegründet wurde, um Open-Source-Softwareprojekte sicherer zu machen.