A Microsoft bejelentette a Windows forráskódjának kiadását a forráskód elemző eszköz "Microsoft Application Inspector ", annak érdekében, hogy segítsen a külső szoftver-összetevőkre támaszkodó fejlesztőknek. A Microsoft Application Inspector az egy forráskód-elemző A szoftverkomponensek fontos jellemzőinek és egyéb jellemzőinek feltárására tervezték, statikus elemzést használ egy JSON-alapú szabálymotorral.
Ez a kódelemző azért különbözik az azonos típusú eszközöktől, mert nem korlátozódik csak a programozási gyakorlatok felderítésére, mivel úgy van megtervezve, hogy, a kódellenőrzés során, azonosítják és kiemelik azokat a jellemzőket, amelyek általában gondos kézi elemzést igényelnek.
Az eszközzel kapcsolatos Microsoft-magyarázatok szerint:
A Microsoft Application Inspector nem próbál meg "jó" vagy "rossz" modellt azonosítani. Ön megelégszik azzal, hogy jelentse a találtakat, több mint 400 szabálysablon készletére hivatkozva a szolgáltatás észleléséhez. A Microsoft szerint ez magában foglalja azokat a funkciókat is, amelyek biztonsági hatással vannak, például a titkosítás használatára és egyebekre.
Az eszköz a parancssorból működik, és több platformon fut. Úgy tervezték, hogy használat előtt átvizsgálja az összetevőket, hogy meghatározza, mi a szoftver vagy mit csinál.
Az Ön által megadott adatok hasznosak lehetnek a szoftverkomponensek meghatározásához szükséges idő csökkentésében a forráskód közvetlen vizsgálatával, nem pedig a korlátozott dokumentációkra vagy ajánlásokra támaszkodva.
Microsoft Alkalmazás -ellenőr támogatja a különféle programozási nyelvek elemzését, Ezek tartalmazzák: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, stb., valamint HTML, JSON és szöveges kimeneti formátumok felvétele.
A Microsoft Application Inspector fejlesztői azt mondják úgy tervezték, hogy külön-külön vagy méretben használható legyen és milliónyi forráskód elemzésére képes a különböző programozási nyelvek felhasználásával épített összetevők számára.
A Microsoft az Alkalmazásellenőr segítségével azonosítja az összetevők idővel (verzióról verzióra) beállított legfontosabb változásait, mivel ezek bármit jelezhetnek a megnövekedett támadási felülettől a rosszindulatú hátsó ajtóig.
Az eszközt a magas kockázatú összetevők azonosítására is használják és váratlan jellemzőkkel rendelkező, további vizsgálatot igénylő személyek. A magas kockázatú összetevők közé tartoznak azok, akik olyan területeken vesznek részt, mint a rejtjelezés, a hitelesítés vagy a deszerializáció, ahol a sebezhetőség valószínűleg több problémát okozna.
mint a cél a harmadik féltől származó szoftverkomponensek gyors azonosítása sajátosságai alapján veszélyeztetett, de az eszköz számos bizonytalan környezetben is hasznos.
alapvetően, ezek a legfontosabb jellemzők a Microsoft Application Inspector-tól:
- JSON alapú szabálymotor, amely statikus elemzést végez.
- Több nyelven létrehozott összetevőkből származó forráskódok millióinak elemzése.
- A magas kockázatú és váratlan jellemzőkkel rendelkező összetevők azonosításának képessége.
- Képes azonosítani az összetevők jellemzőinek változatait verziónként, amelyek bármit jelezhetnek a rosszindulatú hátsó ajtótól a nagyobb támadási felületig.
- Az eredmények több formátumban történő létrehozása, beleértve a JSON-t és a HTML-t is.
- A Microsoft Azure, az Amazon Web Services és a Google Cloud Platform szolgáltatás API-kat és az operációs rendszer szolgáltatásait, például a fájlrendszert, a biztonsági szolgáltatásokat és az alkalmazáskereteket felderítő funkciók felfedezése.
A várakozásoknak megfelelően platform és kriptográfia jól fedett, szimmetrikus, aszimmetrikus, hash és TLS támogatásával.
Az adattípusok ellenőrizhetők a kockázatok szempontjából, beleértve az érzékeny és személyazonosításra alkalmas információkat is.
Egyéb ellenőrzések tartalmazzák az operációs rendszer funkcióit, például a platform azonosítását, a fájlrendszert, a nyilvántartást és a felhasználói fiókokat, valamint a biztonsági szolgáltatásokat, például a hitelesítést és az engedélyezést.
Végül az érdeklődők számára A Microsoft Application Inspector tesztelésekor tudniuk kell, hogy ez már megtörtént elérhető a GitHub oldalon.
Legyen Ön az első hozzászóló