„Microsoft“ paskelbė išleidusi šaltinio kodą jūsų šaltinio kodo analizės įrankis "„Microsoft Application Inspector“, siekiant padėti kūrėjams, kurie remiasi išoriniais programinės įrangos komponentais. „Microsoft“ programų inspektorius yra šaltinio kodo analizatorius Sukurtas siekiant atskleisti svarbias programinės įrangos komponentų savybes ir kitas charakteristikas, jis naudoja statinę analizę su JSON paremtu taisyklių varikliu.
Šis kodų analizatorius skiriasi nuo kitų to paties tipo įrankių, nes tai neapsiriboja tik programavimo praktikos nustatymu, nuo yra suprojektuotas taip, kad, kontroliuojant kodą, nustatomos ir išryškinamos tos savybės, kurios paprastai reikalauja kruopščios rankinės analizės.
Pagal „Microsoft“ pateiktus paaiškinimus apie įrankį:
„Microsoft Application Inspector“ nebando nustatyti „gerų“ ar „blogų“ modelių. Turite pranešti apie tai, ką radote, nurodydami daugiau nei 400 taisyklių šablonų, skirtų funkcijoms aptikti, rinkinį. Pasak „Microsoft“, tai taip pat apima funkcijas, turinčias įtakos saugumui, pvz., Šifravimo naudojimą ir dar daugiau.
Įrankis veikia iš komandinės eilutės ir yra daugiaplatformis. Jis skirtas nuskaityti komponentus prieš naudojant, kad būtų lengviau nustatyti, kas yra ar veikia programinė įranga.
Pateikti duomenys gali būti naudingi norint sumažinti laiką, kurio reikia norint nustatyti, kokius programinės įrangos komponentus reikia atlikti, tiesiogiai tikrinant šaltinio kodą, o ne remtis dažniausiai ribota dokumentacija ar rekomendacijomis.
„Microsoft“ programų inspektorius palaiko įvairių programavimo kalbų analizavimą, Jie apima: C, C ++, C #, Java, JavaScript, HTML, Go, „PowerShell“, ir tt, taip pat HTML, JSON ir teksto išvesties formatų įtraukimas.
„Microsoft Application Inspector“ kūrėjai tai sako yra skirtas naudoti atskirai arba dideliu mastu ir jis gali išanalizuoti daugybę komponentų, sukurtų naudojant daugybę skirtingų programavimo kalbų, šaltinio kodo eilutes.
„Microsoft“ naudoja „Application Inspector“, kad nustatytų pagrindinius komponento funkcijų pokyčius, nustatytus laikui bėgant (kiekviena versija), nes jie gali reikšti bet ką, pradedant padidėjusiu atakos paviršiumi ir baigiant kenkėjišku užpakaliniu vartu.
Jie taip pat naudoja įrankį nustatydami didelės rizikos komponentus ir turinčių netikėtų savybių, reikalaujančių papildomo patikrinimo. Didelės rizikos komponentai apima tuos, kurie dalyvauja tokiose srityse kaip kriptografija, autentifikavimas ar deserializacija, kur pažeidžiamumas gali sukelti daugiau problemų.
Nuo tikslas yra greitai nustatyti trečiųjų šalių programinės įrangos komponentus rizikuoja pagal savo specifiką, tačiau įrankis taip pat naudingas daugelyje nesaugių aplinkybių.
Iš esmės, tai yra svarbiausios savybės „Microsoft“ programų inspektorius:
- JSON pagrįstas taisyklių variklis, kuris atlieka statinę analizę.
- Gebėjimas analizuoti milijonus šaltinio kodo eilučių iš komponentų, sukurtų daugeliu kalbų.
- Gebėjimas nustatyti didelės rizikos komponentus ir tuos, kurie pasižymi netikėtomis savybėmis.
- Galimybė nustatyti komponento funkcijų rinkinio pakeitimus kiekviena versija, kuris gali reikšti bet ką - nuo kenksmingos užpakalinės iki didesnio atakos paviršiaus.
- Galimybė generuoti rezultatus keliais formatais, įskaitant JSON ir HTML.
- Galimybė atrasti funkcijas, apimančias „Microsoft Azure“, „Amazon Web Services“ ir „Google Cloud Platform“ paslaugų API bei operacinės sistemos funkcijas, tokias kaip failų sistema, saugos funkcijos ir programų sistemos.
Kaip tikėtasi, platforma ir kriptografija yra gerai padengtos, palaikant simetriškas, asimetrines, maišos ir TLS.
Duomenų tipus galima patikrinti dėl rizikos, įskaitant neskelbtiną ir asmenį identifikuojančią informaciją.
Kiti patikrinimai apima operacinės sistemos funkcijas, tokias kaip platformos identifikavimas, failų sistema, registras ir vartotojo abonementai, ir saugos funkcijas, tokias kaip autentifikavimas ir prieigos teisės.
Pagaliau besidomintiems Bandydami „Microsoft Application Inspector“ jie turėtų žinoti, kad taip jau yra prieinama „GitHub“.