微軟公佈其安全未來計畫的更新，包括更多使用 CodeQL

2023 年 11 月，微軟首次宣布安全未來計畫（SFI）。該計劃旨在改善公司的網路安全工作，以確保其係統免受駭客攻擊。今天，微軟宣布了其 SFI 工作的更新，其中包括擴大其 CodeQL 程式碼分析引擎的使用。使用時，CodeQL 會建立程式碼資料庫，使分析易受攻擊的程式碼變得更加容易。

微軟在部落格文章中表示，使用 CodeQL 最終將對其商業產品進行 100% 的分析。它已被用於分析 86% 的 Azure DevOps 程式碼儲存庫。該公司還表示，到 2023 年，它已被用來檢查超過 10 億行原始碼。

然而，微軟確實承認，CodeQL 目前未涵蓋的最後 14% 的程式碼“將是一個複雜的、多年的旅程，因為特定的程式碼儲存庫和工程工具需要
額外的工作。”

該公司還表示，它已在 Windows、macOS、iOS 和 Android 上擴展了 Microsoft 365 的 Microsoft 身份驗證庫 (MSAL) 的使用。它補充說：

這種整合確保 Office 應用程式得到統一身份驗證機制的支援。在 Azure 生態系統中，MSAL 已被全面採用，其中包括 Visual Studio、Azure SDK 和 Azure CLI 等關鍵工具，突顯了我們對開發工具中安全且簡化的驗證流程的承諾。

微軟表示，到 2024 年底，它計劃「完全自動化管理 Microsoft Entra ID 和 Microsoft Account (MSA) 金鑰。」這將包括使用硬體安全模組 (HSM) 儲存這些金鑰以提供額外保護。

微軟也宣布向 Rust 基金會捐贈 100 萬美元。該非營利組織於 2021 年成立，幫助維護和開發流行的程式語言。此外，它將向與 Google 共同成立的 Alpha-Omega 計畫捐贈 320 萬美元，以幫助提高開源軟體專案的安全性。