Microsoft telah mengumumkan peluncuran kode sumber alat analisis kode sumber Anda "Microsoft Application Inspector ", untuk membantu pengembang yang mengandalkan komponen perangkat lunak eksternal. Microsoft Application Inspector adalah penganalisis kode sumber Dirancang untuk mengungkapkan fitur penting dan karakteristik lain dari komponen perangkat lunak, ini menggunakan analisis statis dengan mesin aturan berbasis JSON.
Penganalisis kode ini berbeda dari alat lain dengan tipe yang sama karena itu tidak terbatas hanya untuk mendeteksi praktik pemrograman, sejak didesain sedemikian rupa, selama pemeriksaan kode, karakteristik tersebut yang biasanya membutuhkan analisis manual yang cermat diidentifikasi dan disorot.
Menurut penjelasan yang diberikan oleh Microsoft tentang alat tersebut:
Microsoft Application Inspector tidak berusaha mengidentifikasi model yang "baik" atau "buruk". Merupakan konten untuk melaporkan apa yang ditemukan dengan merujuk ke satu set lebih dari 400 template aturan untuk deteksi fitur. Menurut Microsoft, ini juga termasuk fitur yang memiliki dampak keamanan, seperti penggunaan enkripsi dan lainnya.
Alat ini bekerja dari baris perintah dan bersifat lintas platform. Ini dirancang untuk memindai komponen sebelum digunakan untuk membantu menentukan apa perangkat lunak itu atau apa fungsinya.
Data yang Anda berikan dapat berguna dalam mengurangi waktu yang diperlukan untuk menentukan komponen perangkat lunak apa yang dilakukan dengan memeriksa kode sumber secara langsung, daripada mengandalkan sebagian besar dokumentasi atau rekomendasi yang terbatas.
Inspektur Aplikasi Microsoft mendukung penguraian berbagai bahasa pemrograman, Ini termasuk: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, dll, serta penyertaan format keluaran HTML, JSON dan teks.
Pengembang Microsoft Application Inspector mengatakan itu dirancang untuk digunakan secara individual atau dalam skala besar dan dapat mengurai jutaan baris kode sumber komponen yang dibuat menggunakan banyak bahasa pemrograman yang berbeda.
Microsoft menggunakan Application Inspector untuk mengidentifikasi perubahan kunci pada set fitur komponen dari waktu ke waktu (versi demi versi), karena mereka dapat menunjukkan apa pun dari permukaan serangan yang meningkat hingga pintu belakang berbahaya.
Mereka juga menggunakan alat tersebut untuk mengidentifikasi komponen berisiko tinggi dan mereka yang memiliki karakteristik tidak terduga yang membutuhkan pemeriksaan lebih lanjut. Komponen berisiko tinggi termasuk yang terlibat dalam area seperti kriptografi, otentikasi, atau deserialisasi di mana kerentanan kemungkinan akan menyebabkan lebih banyak masalah.
Sejak tujuannya adalah dengan cepat mengidentifikasi komponen perangkat lunak pihak ketiga berisiko berdasarkan spesifikasinya, tetapi alat ini juga berguna dalam banyak konteks yang tidak aman.
Pada dasarnya, ini adalah karakteristik yang paling penting dari Microsoft Application Inspector:
- Mesin aturan berbasis JSON yang melakukan analisis statis.
- Kemampuan untuk menganalisis jutaan baris kode sumber dari komponen yang dibuat dengan banyak bahasa.
- Kemampuan untuk mengidentifikasi komponen berisiko tinggi dan komponen dengan karakteristik yang tidak terduga.
- Kemampuan untuk mengidentifikasi perubahan pada set fitur komponen, versi demi versi, yang dapat menunjukkan apa pun dari pintu belakang berbahaya hingga permukaan serangan yang lebih besar.
- Kemampuan untuk menghasilkan hasil dalam berbagai format, termasuk JSON dan HTML.
- Kemampuan untuk menemukan fitur yang mencakup Microsoft Azure, Amazon Web Services, dan API layanan Google Cloud Platform dan fitur sistem operasi, seperti sistem file, fitur keamanan, dan kerangka aplikasi.
Seperti yang diharapkan, platform dan crypto tercakup dengan baik, dengan dukungan untuk simetris, asimetris, hash, dan TLS.
Jenis data dapat diperiksa untuk risiko, termasuk informasi sensitif dan pribadi.
Pemeriksaan lain termasuk fungsi sistem operasi seperti identifikasi platform, sistem file, registri, dan akun pengguna, dan fitur keamanan seperti otentikasi dan otorisasi.
Akhirnya bagi yang berminat Dalam menguji Microsoft Application Inspector, mereka harus tahu bahwa itu sudah ada tersedia di GitHub.