Microsoft Application Inspector, un analyseur de code open source

Darkcrizt

Minutes 4

inspecteur-d'application-microsoft

Microsoft a annoncé la publication du code source de votre outil d'analyse de code source "Inspecteur d'applications Microsoft ", afin d'aider les développeurs qui s'appuient sur des composants logiciels externes. Microsoft Application Inspector est un analyseur de code source Conçu pour révéler des fonctionnalités importantes et d'autres caractéristiques des composants logiciels, il utilise une analyse statique avec un moteur de règles basé sur JSON.

Cet analyseur de code diffère des autres outils du même type car il ne se limite pas à détecter uniquement les pratiques de programmation, puisque est conçu de telle manière que, lors du contrôle de code, les caractéristiques qui nécessitent généralement une analyse manuelle minutieuse sont identifiées et mises en évidence.

Selon les explications fournies par Microsoft sur l'outil:

Microsoft Application Inspector ne tente pas d'identifier les «bons» ou «mauvais» modèles. Il se contente de rapporter ce qu'il trouve en se référant à un ensemble de plus de 400 modèles de règles pour la détection des fonctionnalités. Selon Microsoft, cela inclut également des fonctionnalités qui ont un impact sur la sécurité, telles que l'utilisation du cryptage et plus encore.

L'outil fonctionne à partir de la ligne de commande et est multiplateforme. Il est conçu pour analyser les composants avant utilisation afin de déterminer ce qu'est ou fait le logiciel.

Les données que vous fournissez peuvent être utiles pour réduire le temps nécessaire pour déterminer ce que font les composants logiciels en examinant directement le code source, plutôt que de s'appuyer sur une documentation ou des recommandations généralement limitées.

Inspecteur d'applications Microsoft prend en charge l'analyse de divers langages de programmation, Ceux-ci inclus: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, etc, ainsi que l'inclusion de formats de sortie HTML, JSON et texte.

Les développeurs de Microsoft Application Inspector disent que est conçu pour être utilisé individuellement ou à grande échelle et il peut analyser des millions de lignes de code source de composants construits à l'aide de nombreux langages de programmation différents.

Microsoft utilise l'inspecteur d'application pour identifier les modifications clés apportées à l'ensemble des fonctionnalités d'un composant au fil du temps (version par version), car elles peuvent indiquer n'importe quoi, d'une surface d'attaque accrue à une porte dérobée malveillante.

Ils utilisent également l'outil pour identifier les composants à haut risque et ceux qui présentent des caractéristiques inattendues qui nécessitent un examen supplémentaire. Les composants à haut risque incluent ceux impliqués dans des domaines tels que la cryptographie, l'authentification ou la désérialisation où une vulnérabilité causerait probablement plus de problèmes.

Car l'objectif est d'identifier rapidement les composants logiciels tiers à risque en raison de ses spécificités, mais l'outil est également utile dans de nombreux contextes d'insécurité.

Fondamentalement, ce sont les caractéristiques les plus importantes de Microsoft Application Inspector:

  • Un moteur de règles basé sur JSON qui effectue une analyse statique.
  • La capacité d'analyser des millions de lignes de code source à partir de composants créés avec de nombreux langages.
  • La capacité d'identifier les composants à haut risque et ceux présentant des caractéristiques inattendues.
  • La capacité d'identifier les modifications apportées à l'ensemble de fonctionnalités d'un composant, version par version, qui peuvent indiquer n'importe quoi, d'une porte dérobée malveillante à une plus grande surface d'attaque.
  • La possibilité de générer des résultats dans plusieurs formats, y compris JSON et HTML.
  • La possibilité de découvrir des fonctionnalités qui couvrent les API de service Microsoft Azure, Amazon Web Services et Google Cloud Platform et les fonctionnalités du système d'exploitation, telles que le système de fichiers, les fonctionnalités de sécurité et les cadres d'application.

Comme prévu, la plate-forme et la crypto sont bien couvertes, avec prise en charge de symétrique, asymétrique, de hachage et TLS.

Les types de données peuvent être vérifiés pour les risques, y compris les informations sensibles et personnellement identifiables.

Les autres vérifications incluent les fonctions du système d'exploitation telles que l'identification de la plate-forme, le système de fichiers, le registre et les comptes d'utilisateurs, ainsi que les fonctions de sécurité telles que l'authentification et l'autorisation.

Enfin pour ceux qui sont intéressés Lors du test de Microsoft Application Inspector, ils doivent savoir qu'il est déjà disponible sur GitHub.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.