Microsoft révèle des mises à jour pour sa Secure Future Initiative, y compris une utilisation accrue de CodeQL

En novembre 2023, Microsoft a annoncé pour la première fois la Secure Future Initiative (SFI) . Il s’agissait d’un plan visant à améliorer les efforts de cybersécurité de l’entreprise afin de protéger ses systèmes contre les pirates informatiques. Aujourd’hui, Microsoft a annoncé une mise à jour de ses efforts SFI, qui incluent l’utilisation étendue de son moteur d’analyse de code CodeQL. Lorsqu’il est utilisé, CodeQL crée une base de données du code de telle sorte que l’analyse du code vulnérable devient plus facile.

Dans un article de blog , Microsoft a déclaré que l’utilisation de CodeQL permettra à terme d’analyser 100 % de ses produits commerciaux. Il est déjà utilisé pour analyser 86 % de ses référentiels de code Azure DevOps. L’entreprise affirme également avoir été utilisée pour vérifier plus d’un milliard de lignes de code source en 2023.

Cependant, Microsoft admet que les 14 % restants de son code non actuellement couverts par CodeQL « seront un voyage complexe sur plusieurs années en raison de référentiels de code spécifiques et d’outils d’ingénierie
nécessitant un travail supplémentaire ».

La société a également déclaré avoir étendu l’utilisation de sa bibliothèque d’authentification Microsoft (MSAL) pour Microsoft 365 sur Windows, macOS, iOS et Android. Il ajoutait :

Cette intégration garantit que les applications Office s’appuient sur un mécanisme d’authentification unifié. Dans l’écosystème Azure, englobant des outils critiques tels que Visual Studio, Azure SDK et Azure CLI, MSAL a été entièrement adopté, soulignant notre engagement en faveur de processus d’authentification sécurisés et rationalisés au sein de nos outils de développement.

Microsoft affirme que d’ici fin 2024, il prévoit « d’automatiser entièrement la gestion des clés Microsoft Entra ID et de compte Microsoft (MSA). » Cela inclura le stockage de ces clés avec des modules de sécurité matériels (HSM) pour une protection supplémentaire.

Microsoft a également annoncé avoir fait un don d’un million de dollars à la Rust Foundation. Lancé en 2021 , le groupe à but non lucratif contribue au maintien et au développement du langage de programmation populaire. En outre, il fera un don de 3,2 millions de dollars au projet Alpha-Omega , qui a été créé avec Google pour contribuer à rendre les projets de logiciels open source plus sécurisés.