Microsoft heeft de release van de broncode van uw broncodeanalysetool "Microsoft Application Inspector ", om ontwikkelaars te helpen die afhankelijk zijn van externe softwarecomponenten. Microsoft Application Inspector is een broncode-analysator Het is ontworpen om belangrijke functies en andere kenmerken van softwarecomponenten te onthullen en maakt gebruik van statische analyse met een op JSON gebaseerde rule engine.
Deze code-analysator verschilt van andere tools van hetzelfde type omdat het is niet beperkt tot het detecteren van alleen programmeerpraktijken, sinds is zo ontworpen dat, tijdens codecontrole, die kenmerken die over het algemeen een zorgvuldige handmatige analyse vereisen, worden geïdentificeerd en benadrukt.
Volgens de uitleg van Microsoft over de tool:
Microsoft Application Inspector probeert geen "goede" of "slechte" modellen te identificeren. U bent tevreden om te rapporteren wat u vindt door te verwijzen naar een set van meer dan 400 regelsjablonen voor functiedetectie. Volgens Microsoft omvat dit ook features die een impact hebben op de beveiliging, zoals het gebruik van encryptie en meer.
De tool werkt vanaf de opdrachtregel en is platformonafhankelijk. Het is ontworpen om componenten vóór gebruik te scannen om te helpen bepalen wat de software is of doet.
De gegevens die u verstrekt, kunnen nuttig zijn om de tijd te verkorten die nodig is om te bepalen wat softwarecomponenten doen door de broncode rechtstreeks te onderzoeken, in plaats van te vertrouwen op meestal beperkte documentatie of aanbevelingen.
Microsoft-toepassingsinspecteur ondersteunt het ontleden van verschillende programmeertalen, Deze omvatten: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, etc, evenals de opname van HTML-, JSON- en tekstuitvoerformaten.
Dat zeggen ontwikkelaars van Microsoft Application Inspector is ontworpen om afzonderlijk of op schaal te worden gebruikt en het kan miljoenen regels broncode analyseren voor componenten die zijn gebouwd met veel verschillende programmeertalen.
Microsoft gebruikt de Application Inspector om de belangrijkste veranderingen in de functieset van een component in de loop van de tijd (versie per versie) te identificeren, aangezien deze alles kunnen aangeven, van een groter aanvalsoppervlak tot een kwaadwillende achterdeur.
Ze gebruiken de tool ook om componenten met een hoog risico te identificeren en die met onverwachte kenmerken die extra onderzoek vereisen. Componenten met een hoog risico zijn onder meer componenten die betrokken zijn bij gebieden zoals cryptografie, authenticatie of deserialisatie waar een kwetsbaarheid waarschijnlijk meer problemen zou veroorzaken.
als het doel is om snel softwarecomponenten van derden te identificeren loopt risico op basis van zijn specifieke kenmerken, maar de tool is ook nuttig in veel onveilige contexten.
in principe, dit zijn de belangrijkste kenmerken Microsoft Application Inspector:
- Een op JSON gebaseerde rule engine die statische analyses uitvoert.
- De mogelijkheid om miljoenen regels broncode te analyseren uit componenten die met veel talen zijn gemaakt.
- Het vermogen om componenten met een hoog risico en componenten met onverwachte kenmerken te identificeren.
- De mogelijkheid om wijzigingen in de functieset van een component te identificeren, versie voor versie, die van alles kunnen aangeven, van een kwaadwillende achterdeur tot een groter aanvalsoppervlak.
- De mogelijkheid om resultaten te genereren in meerdere formaten, inclusief JSON en HTML.
- De mogelijkheid om functies te ontdekken die betrekking hebben op de service-API's van Microsoft Azure, Amazon Web Services en Google Cloud Platform en besturingssystemen, zoals bestandssysteem, beveiligingsfuncties en toepassingsframeworks.
Zoals verwacht platform en crypto zijn goed gedekt, met ondersteuning voor symmetrisch, asymmetrisch, hash en TLS.
De soorten gegevens kunnen worden gecontroleerd op risico's, inclusief gevoelige en persoonlijk identificeerbare informatie.
Andere controles omvatten functies van het besturingssysteem, zoals platformidentificatie, bestandssysteem, register en gebruikersaccounts, en beveiligingsfuncties zoals authenticatie en autorisatie.
Eindelijk voor degenen die geïnteresseerd zijn Bij het testen van Microsoft Application Inspector moeten ze weten dat dit al het geval is beschikbaar op GitHub.