微軟免費提供軟體安全評估工具

微軟正式推出免費的軟體安全評估工具Attack Surface Analyzer，提供企業IT管理者與軟體開發者偵測程式安裝前後的作業系統變動，來判斷應用程式潛在的安全威脅。

這項工具可供軟體開發者、獨立軟體廠商（ISV）或企業資安人員使用。其他安全防護工具是偵測已知弱點，但Attack Surface Analyzer是偵測程式安裝時的安全漏洞，也會分析系統改變以偵測安全威脅，例如新增或變更檔案、註冊金鑰、服務、微軟ActiveX控制碼、傳輸埠與其他參數的變動。

Attack Surface Analyzer偵測的方式是，先建立系統快照（snap shot），接著安裝程式後，再做一次快照，藉由比較2次快照的差異，來判斷是否有安全威脅。Attack Surface Analyzer會產生HTML格式的報告，內容包含系統資訊、網路資訊、系統環境等面向的分析。

微軟表示，這項工具不需要分析程式碼，因此管理與執行者在安裝程式前，可以使用這個工具來分析新的程式或軟體會不會影響企業的整體安全。

2011年微軟曾推出Attack Surface Analyzer測試版，最近正式釋出1.0版，強化了效能並且修復問題，也改善使用介面的設計，目前已可在微軟官網下載。文⊙楊晨欣