מיקרוסופט הודיעה על שחרור קוד המקור של כלי ניתוח קוד המקור שלך "מפקח היישומים של מיקרוסופט ", על מנת לעזור למפתחים הנשענים על רכיבי תוכנה חיצוניים. מפקח היישומים של מיקרוסופט הוא מנתח קוד מקור תוכנן לחשוף תכונות חשובות ומאפיינים אחרים של רכיבי תוכנה, והיא משתמשת בניתוח סטטי עם מנוע כללים מבוסס JSON.
מנתח קוד זה שונה מכלים אחרים מאותו סוג בגלל זה לא מוגבל לאיתור שיטות תכנות בלבד, מאז מעוצב בצורה כזו ש, במהלך בקרת קוד, מאפיינים אלה הדורשים בדרך כלל ניתוח ידני מדוקדק מזוהים ומודגשים.
על פי ההסברים שמסרה מיקרוסופט על הכלי:
מפקח היישומים של מיקרוסופט אינו מנסה לזהות מודלים "טובים" או "רעים". אתה מסתפק בדיווחים על מה שאתה מוצא על ידי הפניה לערכה של יותר מ -400 תבניות כלל לזיהוי תכונות. לטענת מיקרוסופט, זה כולל גם תכונות בעלות השפעה ביטחונית, כמו שימוש בהצפנה ועוד.
הכלי עובד משורת הפקודה והוא חוצה פלטפורמות. הוא נועד לסרוק רכיבים לפני השימוש כדי לעזור לקבוע מהי התוכנה או עושה.
הנתונים שאתה מספק יכולים להועיל בהפחתת הזמן שלוקח לקבוע מה עושים רכיבי תוכנה על ידי בחינת קוד המקור ישירות, במקום להסתמך על תיעוד או המלצות מוגבלים בעיקר.
מפקח היישומים של מיקרוסופט תומך בניתוח שפות תכנות שונות, אלו כוללים: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, וכו ', כמו גם הכללת פורמטים של HTML, JSON ופלט טקסט.
מפתחי מפקח היישומים של מיקרוסופט אומרים זאת מיועד לשימוש בנפרד או בקנה מידה והוא יכול לנתח מיליוני שורות קוד מקור עבור רכיבים שנבנו באמצעות שפות תכנות רבות ושונות.
מיקרוסופט משתמשת במפקח היישומים כדי לזהות שינויים מרכזיים בתכונות הרכיב שנקבעו לאורך זמן (גרסה לפי גרסה), מכיוון שהם יכולים להצביע על כל דבר, החל ממשטח התקפה מוגבר ועד לדלת אחורית זדונית.
הם משתמשים גם בכלי לזיהוי רכיבים בסיכון גבוה ואלה עם מאפיינים בלתי צפויים הדורשים בדיקה נוספת. רכיבים בסיכון גבוה כוללים את המעורבים בתחומים כגון הצפנה, אימות או עריקת ייעול, כאשר סביר להניח שפגיעות תגרום לבעיות רבות יותר.
מאז המטרה היא לזהות במהירות רכיבי תוכנה של צד שלישי בסיכון על בסיס הספציפיות שלו, אך הכלי שימושי גם בהקשרים לא בטוחים רבים.
בעיקרון, אלה המאפיינים החשובים ביותר מפקח היישומים של מיקרוסופט:
- מנוע כללים מבוסס JSON המבצע ניתוח סטטי.
- היכולת לנתח מיליוני שורות קוד מקור מרכיבים שנוצרו עם שפות רבות.
- היכולת לזהות רכיבים בסיכון גבוה ואלו עם מאפיינים בלתי צפויים.
- היכולת לזהות שינויים במערך התכונות של רכיב, גרסה אחר גרסה, שיכולים להצביע על כל דבר החל מדלת אחורית זדונית ומשטח התקפה גדול יותר.
- היכולת לייצר תוצאות במספר פורמטים, כולל JSON ו- HTML.
- היכולת לגלות תכונות המכסות את תכלת הרקיע של מיקרוסופט, שירותי האינטרנט של אמזון ו- API של שירות ה- Google Cloud Platform ותכונות מערכת ההפעלה, כגון מערכת קבצים, תכונות אבטחה ומסגרות יישומים.
כצפוי, פלטפורמה וקריפטו מכוסים היטב, עם תמיכה בסימטריות, אסימטריות, hash ו- TLS.
ניתן לבדוק את סוגי הנתונים לסיכונים, כולל מידע רגיש וניתן לזיהוי אישי.
בדיקות אחרות כוללות פונקציות של מערכת הפעלה כמו זיהוי פלטפורמה, מערכת קבצים, חשבונות רישום ומשתמשים ותכונות אבטחה כגון אימות והרשאה.
בסופו של דבר למי שמעוניין בבדיקת מפקח היישומים של מיקרוסופט, עליהם לדעת שזה כבר זמין ב- GitHub.