Společnost Microsoft oznámila vydání zdrojového kódu váš nástroj pro analýzu zdrojového kódu "Microsoft Application Inspector ", abychom pomohli vývojářům, kteří se spoléhají na externí softwarové komponenty. Microsoft Application Inspector je analyzátor zdrojového kódu Navržen tak, aby odhalil důležité funkce a další charakteristiky softwarových komponent, používá statickou analýzu s motorem pravidel založeným na JSON.
Tento analyzátor kódu se liší od ostatních nástrojů stejného typu, protože neomezuje se pouze na detekci pouze programovacích postupůod je navržen tak, že, během kontroly kódu, ty charakteristiky, které obecně vyžadují pečlivou manuální analýzu, jsou identifikovány a zvýrazněny.
Podle vysvětlení poskytnutých společností Microsoft o nástroji:
Microsoft Application Inspector se nepokouší identifikovat „dobré“ nebo „špatné“ modely. Obsahem je hlásit, co najde, odkazem na sadu více než 400 šablon pravidel pro detekci funkcí. Podle společnosti Microsoft to zahrnuje také funkce, které mají dopad na zabezpečení, jako je použití šifrování a další.
Nástroj pracuje z příkazového řádku a je multiplatformní. Je navržen tak, aby před použitím skenoval komponenty, aby pomohl určit, co software je nebo dělá.
Data, která poskytnete, mohou být užitečná při zkrácení času potřebného k určení, jaké softwarové komponenty se provádějí přímým prozkoumáním zdrojového kódu, místo aby se spoléhaly na většinou omezenou dokumentaci nebo doporučení.
Microsoft Application Inspector podporuje analýzu různých programovacích jazyků, Tyto zahrnují: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, atd., jakož i zahrnutí formátů HTML, JSON a textových výstupů.
Tvrdí to vývojáři Microsoft Application Inspector je určen k použití jednotlivě nebo v měřítku a může analyzovat miliony řádků zdrojového kódu komponenty vytvořeného pomocí mnoha různých programovacích jazyků.
Společnost Microsoft používá Application Inspector k identifikaci klíčových změn v čase nastavených funkcích komponenty (verze po verzi), protože mohou indikovat cokoli od zvýšeného povrchu útoku až po nebezpečnou zadní vrátka.
Nástroj také používají k identifikaci vysoce rizikových komponent a osoby s neočekávanými vlastnostmi, které vyžadují další kontrolu. Mezi vysoce rizikové komponenty patří ty, které jsou zapojeny do oblastí, jako je kryptografie, ověřování nebo deserializace, kde by zranitelnost pravděpodobně způsobila další problémy.
Jak cílem je rychlá identifikace softwarových komponent třetích stran na základě svých specifik ohrožen, ale tento nástroj je také užitečný v mnoha nejistých kontextech.
V podstatě to jsou nejdůležitější vlastnosti od Microsoft Application Inspector:
- Stroj pravidel založený na formátu JSON, který provádí statickou analýzu.
- Schopnost analyzovat miliony řádků zdrojového kódu z komponent vytvořených v mnoha jazycích.
- Schopnost identifikovat vysoce rizikové komponenty a komponenty s neočekávanými vlastnostmi.
- Schopnost identifikovat změny v sadě funkcí komponenty, verze po verzi, které mohou naznačovat cokoli od škodlivého backdooru po větší útočnou plochu.
- Schopnost generovat výsledky v různých formátech, včetně JSON a HTML.
- Možnost objevovat funkce, které pokrývají rozhraní API služby Microsoft Azure, Amazon Web Services a Google Cloud Platform a funkce operačního systému, jako je souborový systém, funkce zabezpečení a aplikační rámce.
Jak se očekávalo, platforma a krypto jsou dobře pokrytys podporou symetrických, asymetrických, hash a TLS.
Je možné zkontrolovat rizika u typů dat, včetně citlivých a osobně identifikovatelných informací.
Mezi další kontroly patří funkce operačního systému, jako je identifikace platformy, souborový systém, registr a uživatelské účty, a bezpečnostní funkce, jako je ověřování a autorizace.
Konečně pro zájemce Při testování Microsoft Application Inspector by měli vědět, že již je k dispozici na GitHubu.