Microsoft обяви пускането на изходния код на вашия инструмент за анализ на изходния код "Инспектор на приложения на Microsoft ", за да помогне на разработчиците, които разчитат на външни софтуерни компоненти. Инспекторът на приложения на Microsoft е анализатор на изходния код Проектиран да разкрива важни характеристики и други характеристики на софтуерните компоненти, той използва статичен анализ с JSON-базиран механизъм за правила.
Този анализатор на код се различава от другите инструменти от същия тип, тъй като не се ограничава до откриване само на практики за програмиране, от е проектиран по такъв начин, че, по време на проверка на кода, идентифицират се и се подчертават тези характеристики, които обикновено изискват внимателен ръчен анализ.
Според обясненията, предоставени от Microsoft за инструмента:
Microsoft Application Inspector не се опитва да идентифицира „добри“ или „лоши“ модели. Съдържанието е да докладва какво намира, като се позовава на набор от повече от 400 шаблона на правила за откриване на характеристики. Според Microsoft това включва и функции, които оказват влияние върху сигурността, като използването на криптиране и други.
Инструментът работи от командния ред и е междуплатформен. Той е предназначен за сканиране на компоненти преди употреба, за да помогне да се определи какъв е или прави софтуерът.
Предоставените от вас данни могат да бъдат полезни за намаляване на времето, необходимо за определяне на това, което правят софтуерните компоненти, като изследвате директно изходния код, вместо да разчитате на предимно ограничена документация или препоръки.
Инспектор на приложения на Microsoft поддържа анализиране на различни програмни езици, Те включват: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, и др., както и включването на HTML, JSON и формати за извеждане на текст.
Разработчиците на Microsoft Application Inspector казват това е проектиран да се използва индивидуално или в мащаб и може да анализира милиони редове на компонентния изходен код, изграден с помощта на много различни езици за програмиране.
Microsoft използва Инспектора на приложения, за да идентифицира ключови промени в набора от функции на даден компонент с течение на времето (версия по версия), тъй като те могат да показват всичко от увеличена повърхност на атака до злонамерен заден план.
Те също използват инструмента за идентифициране на високорискови компоненти и тези с неочаквани характеристики, които изискват допълнителен контрол. Високорисковите компоненти включват тези, които участват в области като криптография, удостоверяване или десериализация, където уязвимостта вероятно би причинила повече проблеми.
като целта е бързо да се идентифицират софтуерните компоненти на трети страни в риск въз основа на спецификите му, но инструментът е полезен и в много несигурни контексти.
общо взето, това са най-важните характеристики от Microsoft Application Inspector:
- JSON-базиран механизъм за правила, който извършва статичен анализ.
- Възможността да се анализират милиони редове изходен код от компоненти, създадени с много езици.
- Способността да се идентифицират високорискови компоненти и такива с неочаквани характеристики.
- Възможността да се идентифицират промените в набора от функции на компонента, версия по версия, които могат да показват всичко от злонамерен заден план до по-голяма повърхност за атака.
- Възможността за генериране на резултати в множество формати, включително JSON и HTML.
- Възможността за откриване на функции, които покриват Microsoft Azure, Amazon Web Services и API на услугата на Google Cloud Platform и функции на операционната система, като файлова система, функции за сигурност и рамки за приложения.
Както се очаква, платформа и крипто са добре покрити, с поддръжка за симетрични, асиметрични, хеш и TLS.
Видовете данни могат да се проверяват за рискове, включително чувствителна и идентифицираща лична информация информация.
Други проверки включват функции на операционната система като идентификация на платформа, файлова система, регистър и потребителски акаунти и функции за сигурност като удостоверяване и упълномощаване.
Накрая за заинтересованите При тестване на Microsoft Application Inspector те трябва да знаят, че вече е на разположение на GitHub.