Microsoft je najavio objavljivanje izvornog koda vaš alat za analizu izvornog koda "Microsoftov inspektor aplikacija ", kako bi pomogli programerima koji se oslanjaju na vanjske softverske komponente. Microsoft Application Inspector je analizator izvornog koda Dizajniran kako bi otkrio važne značajke i druge karakteristike softverskih komponenata, koristi statičku analizu s mehanizmom pravila temeljenim na JSON-u.
Ovaj se analizator koda razlikuje od ostalih alata iste vrste jer nije ograničeno na otkrivanje samo programskih praksi, budući da je dizajniran na takav način da, tijekom kontrole koda, identificiraju se i ističu one karakteristike koje općenito zahtijevaju pažljivu ručnu analizu.
Prema objašnjenjima koje je Microsoft dao o alatu:
Microsoft Application Inspector ne pokušava prepoznati "dobre" ili "loše" modele. Zadovoljni ste što možete prijaviti pozivom na skup od više od 400 predložaka pravila za otkrivanje značajki. Prema Microsoftu, to također uključuje značajke koje imaju sigurnosni utjecaj, poput upotrebe šifriranja i još mnogo toga.
Alat radi iz naredbenog retka i više je platformi. Dizajniran je za skeniranje komponenata prije upotrebe kako bi se utvrdilo što je softver ili što radi.
Podaci koje pružate mogu vam pomoći u smanjenju vremena potrebnog za određivanje softverskih komponenata izravnim ispitivanjem izvornog koda, umjesto oslanjanja na uglavnom ograničenu dokumentaciju ili preporuke.
Microsoftov inspektor aplikacija podržava raščlanjivanje različitih programskih jezika, Oni uključuju: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, itd., kao i uključivanje HTML, JSON i izlaznih formata teksta.
To kažu programeri Microsoft Application Inspektora je dizajniran za pojedinačnu ili opsežnu upotrebu a može analizirati milijune redaka izvornog koda za komponente izgrađene pomoću mnogo različitih programskih jezika.
Microsoft koristi Application Inspector za prepoznavanje ključnih promjena u značajkama komponente postavljenih tijekom vremena (verzija po inačici), jer mogu ukazivati na bilo što, od povećane površine napada do zlonamjernog backdoor-a.
Također koriste alat za prepoznavanje visoko rizičnih komponenata i one s neočekivanim karakteristikama koje zahtijevaju dodatni nadzor. Komponente visokog rizika uključuju one uključene u područja kao što su kriptografija, provjera autentičnosti ili deserializacija, gdje bi ranjivost vjerojatno uzrokovala više problema.
kao cilj je brzo prepoznati softverske komponente treće strane rizik zbog svojih specifičnosti, ali alat je također koristan u mnogim nesigurnim kontekstima.
u osnovi, to su najvažnije karakteristike Microsoftov inspektor aplikacija:
- Mehanizam pravila zasnovan na JSON-u koji izvodi statičku analizu.
- Sposobnost analize milijuna redaka izvornog koda iz komponenata stvorenih na mnogim jezicima.
- Sposobnost prepoznavanja visoko rizičnih komponenata i onih s neočekivanim karakteristikama.
- Sposobnost prepoznavanja promjena u skupu značajki komponente, verzija po inačici, koja može ukazivati na bilo što, od zlonamjernog stražnjeg vrata do veće površine napada.
- Sposobnost generiranja rezultata u više formata, uključujući JSON i HTML.
- Mogućnost otkrivanja značajki koje pokrivaju Microsoft Azure, Amazon Web Services i API-je usluga usluge Google Cloud Platform i značajke operativnog sustava, kao što su datotečni sustav, sigurnosne značajke i okviri aplikacija.
Očekivano, platforma i kripto su dobro pokriveni, s podrškom za simetrične, asimetrične, hash i TLS.
Vrste podataka mogu se provjeriti u pogledu rizika, uključujući osjetljive podatke i podatke koji mogu osobno identificirati.
Ostale provjere uključuju funkcije operativnog sustava poput identifikacije platforme, datotečnog sustava, registra i korisničkih računa te sigurnosne značajke kao što su provjera autentičnosti i autorizacija.
Konačno za one koji su zainteresirani Testirajući Microsoft Application Inspector, trebali bi znati da već jest dostupno na GitHubu.