Microsoft telah mengumumkan pelepasan kod sumber alat analisis kod sumber anda "Pemeriksa Aplikasi Microsoft ", untuk membantu pembangun yang bergantung pada komponen perisian luaran. Pemeriksa Aplikasi Microsoft adalah penganalisis kod sumber Direka untuk mendedahkan ciri-ciri penting dan ciri-ciri lain dari komponen perisian, ia menggunakan analisis statik dengan mesin peraturan berdasarkan JSON.
Penganalisis kod ini berbeza dengan alat lain dengan jenis yang sama kerana ia tidak terhad untuk mengesan amalan pengaturcaraan sahaja, sejak direka sedemikian rupa sehingga, semasa pemeriksaan kod, ciri-ciri yang secara amnya memerlukan analisis manual yang teliti dikenal pasti dan diserlahkan.
Menurut penjelasan yang diberikan oleh Microsoft mengenai alat tersebut:
Pemeriksa Aplikasi Microsoft tidak berusaha untuk mengenal pasti model "baik" atau "buruk". Adalah puas untuk melaporkan apa yang ditemuinya dengan merujuk pada sekumpulan lebih dari 400 templat peraturan untuk pengesanan fitur. Menurut Microsoft, ini juga merangkumi ciri-ciri yang mempunyai kesan keselamatan, seperti penggunaan penyulitan dan banyak lagi.
Alat ini berfungsi dari baris arahan dan berbentuk silang. Ia dirancang untuk mengimbas komponen sebelum digunakan untuk membantu menentukan apakah perisian itu atau tidak.
Data yang anda berikan dapat berguna dalam mengurangi waktu yang diperlukan untuk menentukan komponen perisian apa yang dilakukan dengan memeriksa kod sumber secara langsung, dan bukannya bergantung pada dokumentasi atau saranan yang terbatas.
Pemeriksa Aplikasi Microsoft menyokong penghuraian pelbagai bahasa pengaturcaraan, Ini termasuk: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, dll, serta kemasukan format output HTML, JSON dan teks.
Pembangun Microsoft Application Inspector mengatakan bahawa direka untuk digunakan secara individu atau skala dan dapat menguraikan berjuta-juta baris kod sumber komponen yang dibina menggunakan banyak bahasa pengaturcaraan yang berbeza.
Microsoft menggunakan Application Inspector untuk mengenal pasti perubahan penting pada set komponen komponen dari waktu ke waktu (versi demi versi), kerana mereka dapat menunjukkan apa saja dari peningkatan permukaan serangan ke pintu belakang yang berbahaya.
Mereka juga menggunakan alat untuk mengenal pasti komponen berisiko tinggi dan mereka yang mempunyai ciri yang tidak dijangka yang memerlukan pemeriksaan tambahan. Komponen berisiko tinggi termasuk yang terlibat dalam bidang seperti kriptografi, pengesahan, atau deserialisasi di mana kerentanan mungkin menyebabkan lebih banyak masalah.
Sejak itu tujuannya adalah untuk mengenal pasti komponen perisian pihak ketiga dengan cepat berisiko berdasarkan spesifiknya, tetapi alat ini juga berguna dalam banyak konteks yang tidak selamat.
Pada asasnya, ini adalah ciri yang paling penting dari Pemeriksa Aplikasi Microsoft:
- Enjin peraturan berdasarkan JSON yang melakukan analisis statik.
- Keupayaan untuk menganalisis berjuta-juta baris kod sumber dari komponen yang dibuat dengan banyak bahasa.
- Keupayaan untuk mengenal pasti komponen berisiko tinggi dan komponen yang mempunyai ciri yang tidak dijangka.
- Kemampuan untuk mengenal pasti perubahan pada set fitur komponen, versi demi versi, yang dapat menunjukkan apa saja dari pintu belakang berbahaya ke permukaan serangan yang lebih besar.
- Keupayaan untuk menghasilkan hasil dalam pelbagai format, termasuk JSON dan HTML.
- Keupayaan untuk menemui ciri yang merangkumi Microsoft Azure, Amazon Web Services, dan API perkhidmatan Google Cloud Platform dan ciri sistem operasi, seperti sistem fail, ciri keselamatan, dan kerangka aplikasi.
Seperti yang diharapkan, platform dan crypto dilindungi dengan baik, dengan sokongan untuk simetri, asimetrik, hash, dan TLS.
Jenis data boleh diperiksa untuk risiko, termasuk maklumat sensitif dan peribadi.
Pemeriksaan lain merangkumi fungsi sistem operasi seperti pengenalan platform, sistem fail, pendaftaran, dan akaun pengguna, dan ciri keselamatan seperti pengesahan dan pengesahan.
Akhirnya bagi yang berminat Dalam menguji Microsoft Application Inspector, mereka harus tahu bahawa sudah ada terdapat di GitHub.