Microsoft ir paziņojusi par Windows pirmkoda izlaišanu jūsu avota koda analīzes rīks "Microsoft lietojumprogrammu inspektors ", lai palīdzētu izstrādātājiem, kuri paļaujas uz ārējiem programmatūras komponentiem. Microsoft lietojumprogrammu inspektors ir pirmkodu analizatoru Paredzēts, lai atklātu svarīgas programmatūras komponentu iezīmes un citas īpašības, un tā izmanto statisko analīzi ar JSON balstītu noteikumu dzinēju.
Šis kodu analizators atšķiras no citiem tāda paša veida rīkiem, jo tas neaprobežojas tikai ar programmēšanas prakses atklāšanu, kopš ir veidots tā, laikoda kontroles laikā, tiek identificētas un izceltas tās īpašības, kurām parasti nepieciešama rūpīga manuāla analīze.
Saskaņā ar Microsoft sniegtajiem paskaidrojumiem par rīku:
Microsoft lietojumprogrammu inspektors nemēģina identificēt "labus" vai "sliktus" modeļus. Ir vērts ziņot par atrastajiem, atsaucoties uz vairāk nekā 400 kārtulu veidņu kopumu funkciju noteikšanai. Pēc Microsoft domām, tas ietver arī funkcijas, kurām ir ietekme uz drošību, piemēram, šifrēšanas izmantošana un citas iespējas.
Rīks darbojas no komandrindas un ir starpplatforms. Tas ir paredzēts komponentu skenēšanai pirms lietošanas, lai palīdzētu noteikt, kas ir vai darbojas programmatūra.
Jūsu sniegtie dati var būt noderīgi, lai samazinātu laiku, kas vajadzīgs programmatūras komponentu noteikšanai, tieši pārbaudot pirmkodu, nevis paļaujoties galvenokārt uz ierobežotu dokumentāciju vai ieteikumiem.
Microsoft lietojumprogrammu inspektors atbalsta dažādu programmēšanas valodu parsēšanu, Tie ietver: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, utt., kā arī HTML, JSON un teksta izvades formātu iekļaušana.
Microsoft Application Inspector izstrādātāji to saka ir paredzēts lietošanai atsevišķi vai mērogā un tas var parsēt miljoniem komponentu pirmkodu rindu, kas izveidotas, izmantojot daudzas dažādas programmēšanas valodas.
Korporācija Microsoft izmanto lietojumprogrammu inspektoru, lai identificētu galvenās izmaiņas komponenta funkcijās, kas iestatītas laika gaitā (versijas pa versijām), jo tās var norādīt jebko, sākot no palielinātas uzbrukuma virsmas līdz ļaunprātīgai aizmugurējai durvīm.
Viņi arī izmanto rīku, lai identificētu augsta riska komponentus un tiem, kuriem ir negaidītas īpašības, kas prasa papildu pārbaudi. Augsta riska komponenti ietver tos, kas iesaistīti tādās jomās kā kriptogrāfija, autentifikācija vai deserializācija, kur ievainojamība, iespējams, radīs vairāk problēmu.
Kopš tā laika mērķis ir ātri identificēt trešo pušu programmatūras komponentus riskam, pamatojoties uz tā specifiku, taču rīks ir noderīgs arī daudzos nedrošos gadījumos.
Būtībā tās ir vissvarīgākās īpašības no Microsoft lietojumprogrammu inspektora:
- JSON balstīts noteikumu dzinējs, kas veic statisko analīzi.
- Spēja analizēt miljoniem avota kodu rindu no komponentiem, kas izveidoti ar daudzām valodām.
- Spēja identificēt augsta riska komponentus un komponentus ar negaidītām īpašībām.
- Spēja identificēt izmaiņas komponentu funkciju kopā, versijā pa versijai, kas var norādīt uz visu, sākot no ļaunprātīgas aizmugures durvis līdz lielākai uzbrukuma virsmai.
- Spēja ģenerēt rezultātus vairākos formātos, ieskaitot JSON un HTML.
- Spēja atklāt funkcijas, kas aptver Microsoft Azure, Amazon Web Services un Google Cloud Platform pakalpojumu API un operētājsistēmas funkcijas, piemēram, failu sistēmu, drošības līdzekļus un lietojumprogrammu ietvarus.
Kā gaidīts, platforma un kriptogrāfija ir labi pārklāta, atbalstot simetrisku, asimetrisku, jaukšanu un TLS.
Datu veidus var pārbaudīt attiecībā uz riskiem, tostarp sensitīvu un personu identificējošu informāciju.
Citas pārbaudes ietver operētājsistēmas funkcijas, piemēram, platformas identifikāciju, failu sistēmu, reģistru un lietotāju kontus, un drošības funkcijas, piemēram, autentifikāciju un autorizāciju.
Beidzot interesentiem Pārbaudot Microsoft lietojumprogrammu inspektoru, viņiem jāzina, ka tas jau tā ir pieejams vietnē GitHub.