Microsoft revela atualizações para sua Secure Future Initiative, incluindo maior uso de CodeQL

Em novembro de 2023, a Microsoft anunciou pela primeira vez a Secure Future Initiative (SFI) . Este era um plano para melhorar os esforços de segurança cibernética da empresa para manter seus sistemas protegidos contra hackers. Hoje, a Microsoft anunciou uma atualização em seus esforços de SFI, que inclui o uso expandido de seu mecanismo de análise de código CodeQL. Quando usado, CodeQL cria um banco de dados do código de forma que a análise do código vulnerável se torna mais fácil.

Em uma postagem no blog , a Microsoft disse que o uso do CodeQL acabará por analisar 100% de seus produtos comerciais. Já está sendo usado para analisar 86% de seus repositórios de código Azure DevOps. A empresa afirma ainda que foi usado para verificar mais de um bilhão de linhas de código-fonte em 2023.

No entanto, a Microsoft admite que os 14% finais de seu código atualmente não cobertos pelo CodeQL “serão uma jornada complexa e de vários anos devido a repositórios de código específicos e ferramentas de engenharia
que exigem trabalho adicional”.

A empresa também disse que expandiu o uso de sua Biblioteca de Autenticação Microsoft (MSAL) para Microsoft 365 no Windows, macOS, iOS e Android. Acrescentou:

Esta integração garante que os aplicativos do Office sejam sustentados por um mecanismo de autenticação unificado. No ecossistema Azure, que abrange ferramentas críticas como o Visual Studio, o Azure SDK e o Azure CLI, o MSAL foi totalmente adotado, sublinhando o nosso compromisso com processos de autenticação seguros e simplificados nas nossas ferramentas de desenvolvimento.

A Microsoft afirma que, até o final de 2024, planeja “automatizar totalmente o gerenciamento das chaves Microsoft Entra ID e Microsoft Account (MSA).” Isso incluirá o armazenamento dessas chaves com Módulos de Segurança de Hardware (HSMs) para proteção extra.

A Microsoft também anunciou que fez uma doação de US$ 1 milhão para a Rust Foundation. Lançado em 2021 , o grupo sem fins lucrativos ajuda a manter e desenvolver a popular linguagem de programação. Além disso, fará uma doação de US$ 3,2 milhões ao projeto Alpha-Omega , que foi formado, junto com o Google, para ajudar a tornar os projetos de software de código aberto mais seguros.