Microsoft ने स्रोत कोड जारी करने की घोषणा की है आपका स्रोत कोड विश्लेषण उपकरण "Microsoft अनुप्रयोग निरीक्षक ", बाहरी सॉफ्टवेयर घटकों पर भरोसा करने वाले डेवलपर्स की सहायता के लिए। Microsoft अनुप्रयोग निरीक्षक है एक स्रोत कोड विश्लेषक महत्वपूर्ण घटक और सॉफ़्टवेयर घटकों की अन्य विशेषताओं को प्रकट करने के लिए डिज़ाइन किया गया, यह JSON- आधारित नियम इंजन के साथ स्थैतिक विश्लेषण का उपयोग करता है।
यह कोड विश्लेषक उसी प्रकार के अन्य उपकरणों से भिन्न होता है क्योंकि यह केवल प्रोग्रामिंग प्रथाओं का पता लगाने तक सीमित नहीं है, तब से इस तरह से बनाया गया है कि, कोड नियंत्रण के दौरान, उन विशेषताओं को जिन्हें आम तौर पर सावधान मैनुअल विश्लेषण की आवश्यकता होती है, उन्हें पहचाना और हाइलाइट किया जाता है।
Microsoft द्वारा टूल के बारे में दिए गए स्पष्टीकरण के अनुसार:
Microsoft अनुप्रयोग निरीक्षक "अच्छे" या "बुरे" मॉडल की पहचान करने का प्रयास नहीं करता है। आप यह पता लगाने के लिए रिपोर्ट कर रहे हैं कि आपको फीचर डिटेक्शन के लिए 400 से अधिक नियम टेम्प्लेट के सेट का उल्लेख करने से क्या मिलता है। Microsoft के अनुसार, इसमें ऐसी विशेषताएं भी शामिल हैं जिनका सुरक्षा प्रभाव पड़ता है, जैसे एन्क्रिप्शन का उपयोग और अधिक।
टूल कमांड लाइन से काम करता है और क्रॉस-प्लेटफ़ॉर्म है। यह सॉफ्टवेयर या क्या करता है यह निर्धारित करने में मदद करने के लिए उपयोग करने से पहले घटकों को स्कैन करने के लिए डिज़ाइन किया गया है।
आपके द्वारा प्रदान किया जाने वाला डेटा ज्यादातर सीमित दस्तावेज़ों या सिफारिशों पर निर्भर रहने के बजाय, स्रोत कोड की सीधे जाँच करके यह निर्धारित करने में लगने वाले समय को कम करने में मददगार हो सकता है।
Microsoft अनुप्रयोग निरीक्षक विभिन्न प्रोग्रामिंग भाषाओं के पार्सिंग का समर्थन करता है, इसमे शामिल है: सी, सी ++, सी #, जावा, जावास्क्रिप्ट, एचटीएमएल, गो, पॉवरशेल, आदि, साथ ही HTML, JSON और टेक्स्ट आउटपुट फॉर्मेट को शामिल किया गया।
Microsoft अनुप्रयोग इंस्पेक्टर डेवलपर्स का कहना है कि व्यक्तिगत रूप से या पैमाने पर उपयोग करने के लिए डिज़ाइन किया गया है और यह कई अलग-अलग प्रोग्रामिंग भाषाओं का उपयोग करके निर्मित घटकों के लिए स्रोत कोड की लाखों पंक्तियों का विश्लेषण कर सकता है।
Microsoft अनुप्रयोग निरीक्षक का उपयोग समय के साथ घटक के संस्करण में (संस्करण द्वारा संस्करण) सेट करने के लिए महत्वपूर्ण परिवर्तनों की पहचान करने के लिए करता है, क्योंकि वे बढ़ी हुई हमले की सतह से दुर्भावनापूर्ण पिछले दरवाजे पर कुछ भी इंगित कर सकते हैं।
वे उच्च-जोखिम वाले घटकों की पहचान करने के लिए भी उपकरण का उपयोग करते हैं और अप्रत्याशित विशेषताओं वाले जिन्हें अतिरिक्त जांच की आवश्यकता होती है। उच्च जोखिम वाले घटकों में क्रिप्टोग्राफी, प्रमाणीकरण, या डीरिएरलाइज़ेशन जैसे क्षेत्रों में शामिल लोग शामिल हैं जहां एक भेद्यता अधिक समस्याओं का कारण होगी।
जैसे लक्ष्य जल्दी से तीसरे पक्ष के सॉफ्टवेयर घटकों की पहचान करना है अपनी बारीकियों के आधार पर जोखिम पर, लेकिन उपकरण कई असुरक्षित संदर्भों में भी उपयोगी है।
मूल रूप से, ये सबसे महत्वपूर्ण विशेषताएं हैं Microsoft अनुप्रयोग निरीक्षक:
- JSON- आधारित नियम इंजन जो स्थैतिक विश्लेषण करता है।
- कई भाषाओं के साथ बनाए गए घटकों से स्रोत कोड की लाखों लाइनों का विश्लेषण करने की क्षमता।
- उच्च जोखिम वाले घटकों और अप्रत्याशित विशेषताओं वाले लोगों की पहचान करने की क्षमता।
- एक घटक के फीचर सेट में परिवर्तन, संस्करण द्वारा संस्करण की पहचान करने की क्षमता, जो दुर्भावनापूर्ण पिछले दरवाजे से बड़े हमले की सतह पर कुछ भी इंगित कर सकता है।
- JSON और HTML सहित कई प्रारूपों में परिणाम उत्पन्न करने की क्षमता।
- Microsoft Azure, Amazon वेब सेवाएँ और Google क्लाउड प्लेटफ़ॉर्म सेवा API और ऑपरेटिंग सिस्टम सुविधाएँ, जैसे फ़ाइल सिस्टम, सुरक्षा सुविधाएँ, और अनुप्रयोग ढाँचे को कवर करने वाली सुविधाओं की खोज करने की क्षमता।
जैसी उम्मीद थी, प्लेटफ़ॉर्म और क्रिप्टो अच्छी तरह से कवर किए गए हैंसममित, असममित, हैश और टीएलएस के समर्थन के साथ।
संवेदनशील और व्यक्तिगत रूप से पहचान योग्य जानकारी सहित जोखिमों के लिए डेटा के प्रकारों की जाँच की जा सकती है।
अन्य जाँचों में ऑपरेटिंग सिस्टम फ़ंक्शंस जैसे प्लेटफ़ॉर्म आइडेंटिफिकेशन, फाइल सिस्टम, रजिस्ट्री और यूज़र अकाउंट्स और सुरक्षा फीचर्स जैसे ऑथेंटिकेशन और ऑथराइजेशन शामिल हैं।
अंत में रुचि रखने वालों के लिए Microsoft अनुप्रयोग निरीक्षक के परीक्षण में, उन्हें पता होना चाहिए कि यह पहले से ही है GitHub पर उपलब्ध है।