Microsoft heeft twee security tools beschikbaar gemaakt waarmee ontwikkelaars op een veilige manier software kunnen ontwikkelen en testen. Het gaat om de BinScope Binary Analyzer, een verificatie tool die controleert of de juiste compiler en linker bescherming wordt gebruikt. "Een van de dingen die we ontdekten, is dat de juiste compiler instelling veel kan veranderen", zegt beveiligingschef Roger Halbheer.

De tweede gratis tool is de MiniFuzz File Fuzzer, een eenvoudige fuzzer die fuzz testing vergemakkelijkt door bestandsformaten aan de applicatie te geven die het niet verwacht. Bij fuzzing bestookt men een programma met allerlei data, om zo problemen uit te lokken die vervolgens weer te misbruiken zijn. Voor het ter beschikking stellen van de tools gaat Microsoft niet over één nacht ijs. "We proberen je alle tools te geven die we hebben, zo lang het zin heeft vanuit een beveiligingsperspectief gezien. Het risico is simpel: Als we het aan onze klanten geven, geven we het ook aan de criminelen", gaat Halbheer verder.

De werking van beide tools wordt op het Security Development Lifecycle blog uitgelegd. "Als je in-house ontwikkelt, bekijk en gebruik ze dan. Als dat niet het geval is, zorg dan dat je leverancier ze gebruikt of iets dergelijks." Naast de twee programma's is er ook een security whitepaper van het SDL team verschenen die het integreren van SDL practices aan eigen projecten omschrijft.