Η Microsoft ανακοίνωσε την κυκλοφορία του πηγαίου κώδικα του το εργαλείο ανάλυσης πηγαίου κώδικα "Επιθεωρητής εφαρμογών της Microsoft ", προκειμένου να βοηθήσουν προγραμματιστές που βασίζονται σε εξωτερικά στοιχεία λογισμικού. Το Microsoft Application Inspector είναι αναλυτής πηγαίου κώδικα Σχεδιασμένο για να αποκαλύπτει σημαντικά χαρακτηριστικά και άλλα χαρακτηριστικά των στοιχείων του λογισμικού, χρησιμοποιεί στατική ανάλυση με μια μηχανή κανόνα που βασίζεται σε JSON.
Αυτός ο αναλυτής κώδικα διαφέρει από άλλα εργαλεία του ίδιου τύπου επειδή Δεν περιορίζεται στην ανίχνευση μόνο πρακτικών προγραμματισμού, Από έχει σχεδιαστεί με τέτοιο τρόπο ώστε, κατά τον έλεγχο κώδικα, τα χαρακτηριστικά που απαιτούν γενικά προσεκτική χειροκίνητη ανάλυση αναγνωρίζονται και επισημαίνονται.
Σύμφωνα με τις εξηγήσεις που παρέχει η Microsoft σχετικά με το εργαλείο:
Το Microsoft Application Inspector δεν επιχειρεί να εντοπίσει "καλά" ή "κακά" μοντέλα. Είναι ικανοποιημένο να αναφέρετε τι βρίσκει αναφερόμενος σε ένα σύνολο περισσότερων από 400 προτύπων κανόνων για την ανίχνευση χαρακτηριστικών. Σύμφωνα με τη Microsoft, αυτό περιλαμβάνει επίσης λειτουργίες που έχουν αντίκτυπο στην ασφάλεια, όπως η χρήση κρυπτογράφησης και άλλα.
Το εργαλείο λειτουργεί από τη γραμμή εντολών και είναι πολλαπλής πλατφόρμας. Έχει σχεδιαστεί για τη σάρωση εξαρτημάτων πριν από τη χρήση για να προσδιορίσει τι είναι ή είναι το λογισμικό.
Τα δεδομένα που παρέχετε μπορούν να βοηθήσουν στη μείωση του χρόνου που απαιτείται για τον προσδιορισμό των στοιχείων του λογισμικού, εξετάζοντας απευθείας τον πηγαίο κώδικα, αντί να βασίζονται σε περιορισμένη τεκμηρίωση ή προτάσεις.
Επιθεωρητής εφαρμογών της Microsoft υποστηρίζει την ανάλυση διαφόρων γλωσσών προγραμματισμού, Αυτά περιλαμβάνουν: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, κ.λπ., καθώς και τη συμπερίληψη μορφών εξόδου HTML, JSON και κειμένου.
Οι προγραμματιστές του Microsoft Application Inspector το λένε αυτό έχει σχεδιαστεί για χρήση μεμονωμένα ή σε κλίμακα και μπορεί να αναλύσει εκατομμύρια γραμμές πηγαίου κώδικα για στοιχεία που έχουν δημιουργηθεί χρησιμοποιώντας πολλές διαφορετικές γλώσσες προγραμματισμού.
Η Microsoft χρησιμοποιεί το Application Inspector για να εντοπίσει τις βασικές αλλαγές στο σύνολο λειτουργιών ενός στοιχείου με την πάροδο του χρόνου (έκδοση ανά έκδοση), καθώς μπορούν να υποδείξουν οτιδήποτε, από μια αυξημένη επιφάνεια επίθεσης έως μια κακόβουλη πίσω πόρτα.
Χρησιμοποιούν επίσης το εργαλείο για τον προσδιορισμό συστατικών υψηλού κινδύνου και εκείνων με απροσδόκητα χαρακτηριστικά που απαιτούν πρόσθετο έλεγχο. Τα στοιχεία υψηλού κινδύνου περιλαμβάνουν εκείνα που εμπλέκονται σε τομείς όπως η κρυπτογραφία, ο έλεγχος ταυτότητας ή η αποεπιεριοποίηση όπου μια ευπάθεια πιθανότατα θα προκαλούσε περισσότερα προβλήματα.
Δεδομένου ότι ο στόχος είναι να εντοπίσουμε γρήγορα στοιχεία λογισμικού τρίτων κινδυνεύει με βάση τις ιδιαιτερότητές του, αλλά το εργαλείο είναι επίσης χρήσιμο σε πολλά ανασφαλή περιβάλλοντα.
Βασικά, αυτά είναι τα πιο σημαντικά χαρακτηριστικά Επιθεωρητής εφαρμογών της Microsoft:
- Μια μηχανή κανόνων που βασίζεται σε JSON και εκτελεί στατική ανάλυση.
- Η ικανότητα ανάλυσης εκατομμυρίων γραμμών πηγαίου κώδικα από στοιχεία που έχουν δημιουργηθεί με πολλές γλώσσες.
- Η ικανότητα αναγνώρισης συστατικών υψηλού κινδύνου και εκείνων με απροσδόκητα χαρακτηριστικά.
- Η δυνατότητα εντοπισμού αλλαγών στο σύνολο λειτουργιών ενός στοιχείου, έκδοση κατά έκδοση, που μπορεί να υποδηλώνει οτιδήποτε από κακόβουλο backdoor σε μεγαλύτερη επιφάνεια επίθεσης.
- Η δυνατότητα δημιουργίας αποτελεσμάτων σε πολλές μορφές, συμπεριλαμβανομένων των JSON και HTML.
- Η δυνατότητα εύρεσης δυνατοτήτων που καλύπτουν τα Microsoft Azure, Amazon Web Services και API υπηρεσίας Cloud Google και λειτουργίες λειτουργικού συστήματος, όπως σύστημα αρχείων, λειτουργίες ασφαλείας και πλαίσια εφαρμογών.
Οπως αναμενόταν, πλατφόρμα και crypto καλύπτονται καλά, με υποστήριξη συμμετρικών, ασύμμετρων, κατακερματισμών και TLS.
Οι τύποι δεδομένων μπορούν να ελεγχθούν για κινδύνους, συμπεριλαμβανομένων ευαίσθητων και προσωπικά αναγνωρίσιμων πληροφοριών.
Άλλοι έλεγχοι περιλαμβάνουν λειτουργίες λειτουργικού συστήματος, όπως αναγνώριση πλατφόρμας, σύστημα αρχείων, μητρώο και λογαριασμούς χρηστών, καθώς και λειτουργίες ασφαλείας όπως έλεγχος ταυτότητας και εξουσιοδότηση.
Τελικά για όσους ενδιαφέρονται Κατά τη δοκιμή του Microsoft Application Inspector, πρέπει να γνωρίζουν ότι είναι ήδη διαθέσιμο στο GitHub.