Microsoft ha anunciado la liberación del código fuente de su herramienta de análisis de código fuente “Microsoft Application Inspector”, con la finalidad de ayudar a los desarrolladores que confían en componentes de software externos. Microsoft Application Inspector es un analizador de código fuente diseñado para revelar características importantes y otras características de los componentes de software, utiliza análisis estático con un motor de reglas basado en JSON.
Este analizador de código difiere de otras herramientas del mismo tipo porque no se limita a detectar solo prácticas de programación, puesto que está diseñado de tal manera que, durante el control del código, se identifican y resaltan aquellas características que generalmente requieren un análisis manual cuidadoso.
Según las explicaciones proporcionadas por Microsoft sobre la herramienta:
Microsoft Application Inspector no intenta identificar modelos «buenos» o «malos». Se contenta con informar lo que encuentra al referirse a un conjunto de más de 400 modelos de reglas para la detección de características. Según Microsoft, esto también incluye características que tienen un impacto en la seguridad, como el uso de cifrado y más.
La herramienta funciona desde la línea de comandos y es multiplataforma. Está diseñado para escanear componentes antes de su uso para ayudar a determinar qué es el software o qué hace.
Los datos que proporciona pueden ser útiles para reducir el tiempo que lleva determinar qué hacen los componentes de software al examinar el código fuente directamente, en lugar de depender de documentación o recomendaciones en su mayoría limitadas.
Microsoft Application Inspector admite el análisis de varios lenguajes de programación, estos incluyen: C, C ++, C #, Java, JavaScript, HTML, Go, PowerShell, etc, asi como la inclusión de formatos de salida en HTML, JSON y texto.
Los desarrolladores de Microsoft Application Inspector dicen que está diseñado para usarse individualmente o a escala y puede analizar millones de líneas de código fuente de componentes construidos usando muchos lenguajes de programación diferentes.
Microsoft usa el Inspector de aplicaciones para identificar cambios clave en el conjunto de características de un componente a lo largo del tiempo (versión a versión), ya que pueden indicar cualquier cosa, desde una superficie de ataque incrementada hasta una puerta trasera maliciosa.
También usan la herramienta para identificar componentes de alto riesgo y aquellos con características inesperadas que requieren un escrutinio adicional. Los componentes de alto riesgo incluyen aquellos involucrados en áreas tales como criptografía, autenticación o deserialización donde una vulnerabilidad probablemente causaría más problemas.
Ya que el objetivo es identificar rápidamente los componentes de software de terceros en riesgo en función de sus características específicas, pero la herramienta también es útil en muchos contextos inseguros.
Básicamente, estas son las características más importantes de Microsoft Application Inspector :
- Un motor de reglas basado en JSON que realiza análisis estáticos.
- La capacidad de analizar millones de líneas de código fuente a partir de componentes creados con muchos idiomas.
- La capacidad de identificar componentes de alto riesgo y aquellos con características inesperadas.
- La capacidad de identificar cambios en el conjunto de características de un componente, versión a versión, que puede indicar cualquier cosa, desde una puerta trasera maliciosa hasta una mayor superficie de ataque.
- La capacidad de generar resultados en múltiples formatos, incluidos JSON y HTML.
- La capacidad de detectar funciones que cubren las API de servicios de Microsoft Azure, Amazon Web Services y Google Cloud Platform y las funciones del sistema operativo, como el sistema de archivos, las características de seguridad y los marcos de aplicaciones.
Como era de esperar, la plataforma y la criptografía están bien cubiertas, con soporte para simétrico, asimétrico, hash y TLS.
Los tipos de datos se pueden verificar en busca de riesgos, incluida la información sensible y de identificación personal.
Otras comprobaciones incluyen funciones del sistema operativo como identificación de plataforma, sistema de archivos, registro y cuentas de usuario, y características de seguridad como autenticación y autorización.
Finalmente para quienes estén interesados en probar Microsoft Application Inspector, deben saber que ya se encuentra disponible en GitHub.