マイクロソフトは、のソースコードのリリースを発表しました あなたのソースコード分析ツール "Microsoft Application Inspector "、外部ソフトウェアコンポーネントに依存する開発者を支援するため。 Microsoft ApplicationInspectorは ソースコードアナライザー ソフトウェアコンポーネントの重要な機能やその他の特性を明らかにするように設計されており、JSONベースのルールエンジンによる静的分析を使用します。
このコードアナライザーは、同じタイプの他のツールとは異なります。 プログラミング手法のみを検出することに限定されません以来、 次のように設計されています、コード制御中、 一般に注意深い手動分析を必要とする特性が特定され、強調表示されます。
ツールについてマイクロソフトが提供した説明によると:
Microsoft Application Inspectorは、「良い」モデルまたは「悪い」モデルを識別しようとはしません。 機能検出用の400を超えるルールテンプレートのセットを参照して、検出した内容を報告するのは内容です。 Microsoftによると、これには暗号化の使用など、セキュリティに影響を与える機能も含まれます。
このツールはコマンドラインから機能し、クロスプラットフォームです。 これは、使用前にコンポーネントをスキャンして、ソフトウェアが何であるか、または何をするかを判断するのに役立つように設計されています。
提供するデータは、ほとんど限られたドキュメントや推奨事項に頼るのではなく、ソースコードを直接調べることで、ソフトウェアコンポーネントの動作を判断するのにかかる時間を短縮するのに役立ちます。
Microsoftアプリケーションインスペクター さまざまなプログラミング言語の解析をサポート、これらが含まれます: C、C ++、C#、Java、JavaScript、HTML、Go、PowerShell、 など、HTML、JSON、テキスト出力形式が含まれています。
Microsoft Application Inspectorの開発者は、 個別にまたは大規模に使用するように設計されています また、さまざまなプログラミング言語を使用して構築されたコンポーネントの数百万行のソースコードを分析できます。
マイクロソフトは、アプリケーションインスペクターを使用して、コンポーネントの機能セットに対する主要な変更を時間の経過とともに(バージョンごとに)識別します。これは、攻撃対象領域の増加から悪意のあるバックドアまで、あらゆるものを示すことができるためです。
また、ツールを使用してリスクの高いコンポーネントを特定します そして、追加の精査を必要とする予期しない特性を持つもの。 高リスクのコンポーネントには、暗号化、認証、逆シリアル化など、脆弱性がより多くの問題を引き起こす可能性のある領域に関係するコンポーネントが含まれます。
から 目標は、サードパーティのソフトウェアコンポーネントをすばやく特定することです その詳細に基づいてリスクにさらされますが、ツールは多くの安全でない状況でも役立ちます。
基本的には これらは最も重要な特性です Microsoft Application Inspectorから:
- 静的分析を実行するJSONベースのルールエンジン。
- 多くの言語で作成されたコンポーネントからの数百万行のソースコードを分析する機能。
- リスクの高いコンポーネントと予期しない特性を持つコンポーネントを識別する機能。
- コンポーネントの機能セットへの変更をバージョンごとに識別する機能。これは、悪意のあるバックドアからより大きな攻撃対象領域まで、あらゆるものを示す可能性があります。
- JSONやHTMLを含む複数の形式で結果を生成する機能。
- Microsoft Azure、Amazon Web Services、Google Cloud PlatformサービスAPIをカバーする機能と、ファイルシステム、セキュリティ機能、アプリケーションフレームワークなどのオペレーティングシステム機能を検出する機能。
予想通り、 プラットフォームと暗号は十分にカバーされています、対称、非対称、ハッシュ、およびTLSをサポートします。
機密情報や個人を特定できる情報など、データの種類をリスクについてチェックできます。
その他のチェックには、プラットフォームID、ファイルシステム、レジストリ、ユーザーアカウントなどのオペレーティングシステム機能、および認証や承認などのセキュリティ機能が含まれます。
最後に 興味のある方へ Microsoft Application Inspectorをテストする際、彼らはそれがすでにあることを知っている必要があります GitHubで入手できます。