Microsoft on ilmoittanut julkaisevansa lähdekoodin lähdekoodisi analyysityökalu "Microsoft Application Inspector ", auttaakseen kehittäjiä, jotka luottavat ulkoisiin ohjelmistokomponenteihin. Microsoft Application Inspector on lähdekoodianalysaattori Se on suunniteltu paljastamaan ohjelmistokomponenttien tärkeät ominaisuudet ja muut ominaisuudet, ja se käyttää staattista analyysia JSON-pohjaisen sääntömoottorin kanssa.
Tämä koodianalysaattori eroaa muista samantyyppisistä työkaluista, koska se ei rajoitu vain ohjelmointikäytäntöjen havaitsemiseen, siitä asti kun on suunniteltu siten, että, koodin hallinnan aikana, ne ominaisuudet, jotka yleensä edellyttävät huolellista manuaalista analyysiä, tunnistetaan ja korostetaan.
Microsoftin työkalusta antamien selitysten mukaan:
Microsoft Application Inspector ei yritä tunnistaa "hyviä" tai "huonoja" malleja. Voit ilmoittaa löytämästäsi viittaamalla yli 400 sääntömallin sarjaan ominaisuuksien havaitsemiseksi. Microsoftin mukaan tämä sisältää myös ominaisuuksia, joilla on turvallisuusvaikutuksia, kuten salauksen käyttö ja paljon muuta.
Työkalu toimii komentoriviltä ja on monitasoinen. Se on suunniteltu skannaamaan komponentit ennen käyttöä, jotta ohjelmisto on tai toimii.
Antamistasi tiedoista voi olla hyötyä ohjelmistokomponenttien määrittämiseen kuluvan ajan lyhentämisessä tutkimalla lähdekoodia suoraan sen sijaan, että luotettaisiin lähinnä rajoitettuihin asiakirjoihin tai suosituksiin.
Microsoftin sovellustarkastaja tukee eri ohjelmointikielien jäsentämistä, Nämä sisältävät: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, jne., sekä HTML-, JSON- ja tekstilähtömuotojen sisällyttäminen.
Microsoft Application Inspector -kehittäjät sanovat sen on suunniteltu käytettäväksi erikseen tai mittakaavassa ja se pystyy analysoimaan miljoonia lähdekoodirivejä komponenteille, jotka on rakennettu käyttämällä monia eri ohjelmointikieliä.
Microsoft tunnistaa sovellustarkastajan avulla tärkeimmät muutokset komponentin ominaisuuksiin ajan mittaan (versioittain), koska ne voivat viitata mihin tahansa lisääntyneestä hyökkäyspinnasta haitalliseen takaoveen.
He käyttävät työkalua myös riskialttiiden komponenttien tunnistamiseen ja ne, joilla on odottamattomia ominaisuuksia, jotka vaativat lisätarkastusta. Suuririskisiin komponentteihin kuuluvat ne, jotka ovat mukana salauksessa, todennuksessa tai deserialisaatiossa, jossa haavoittuvuus todennäköisesti aiheuttaisi enemmän ongelmia.
kuten tavoitteena on tunnistaa kolmannen osapuolen ohjelmistokomponentit nopeasti vaarassa sen erityispiirteiden perusteella, mutta työkalu on hyödyllinen myös monissa epävarmoissa yhteyksissä.
pohjimmiltaan, nämä ovat tärkeimmät ominaisuudet Microsoft Application Inspector:
- JSON-pohjainen sääntömoottori, joka suorittaa staattisen analyysin.
- Kyky analysoida miljoonia lähdekoodirivejä komponenteilla, jotka on luotu monilla kielillä.
- Kyky tunnistaa suuririskiset komponentit ja odottamattomat ominaisuudet.
- Kyky tunnistaa komponentin ominaisuuksien muutokset versioittain, mikä voi osoittaa mitä tahansa haitallisesta takaovesta suurempaan hyökkäyspintaan.
- Kyky tuottaa tuloksia useissa muodoissa, mukaan lukien JSON ja HTML.
- Kyky löytää ominaisuuksia, jotka kattavat Microsoft Azure-, Amazon Web Services- ja Google Cloud Platform -palvelun sovellusliittymät ja käyttöjärjestelmän ominaisuudet, kuten tiedostojärjestelmän, suojausominaisuudet ja sovelluskehykset.
Odotetusti, foorumi ja salaus ovat hyvin peitetty, symmetrisen, epäsymmetrisen, hajautusmerkin ja TLS: n tuella.
Tietotyypeissä voidaan tarkistaa riskit, mukaan lukien arkaluonteiset ja henkilökohtaisesti tunnistettavat tiedot.
Muita tarkistuksia ovat käyttöjärjestelmän toiminnot, kuten alustan tunnistus, tiedostojärjestelmä, rekisteri ja käyttäjätilit, sekä turvaominaisuudet, kuten todennus ja valtuutus.
Vihdoin kiinnostuneille Testattaessa Microsoft Application Inspectoria heidän pitäisi tietää, että se on jo saatavilla GitHubissa.