Microsoft har kunngjort utgivelsen av kildekoden til verktøyet for kildekodeanalyse "Microsoft Application Inspector ", for å hjelpe utviklere som er avhengige av eksterne programvarekomponenter. Microsoft Application Inspector er en kildekodeanalysator Designet for å avsløre viktige funksjoner og andre egenskaper ved programvarekomponenter, bruker den statisk analyse med en JSON-basert regelmotor.
Denne kodeanalysatoren skiller seg fra andre verktøy av samme type fordi det er ikke begrenset til å oppdage bare programmeringspraksis, siden er utformet på en slik måte at, under kodestyring, de egenskapene som generelt krever nøye manuell analyse identifiseres og fremheves.
I følge forklaringene fra Microsoft om verktøyet:
Microsoft Application Inspector prøver ikke å identifisere "gode" eller "dårlige" modeller. Det er innhold å rapportere hva det finner ved å referere til et sett med mer enn 400 regelmaler for funksjonsgjenkjenning. I følge Microsoft inkluderer dette også funksjoner som har innvirkning på sikkerheten, som bruk av kryptering og mer.
Verktøyet fungerer fra kommandolinjen og er plattformoverskridende. Den er designet for å skanne komponenter før bruk for å avgjøre hva programvaren er eller gjør.
Dataene du gir kan være nyttige for å redusere tiden det tar å bestemme hva programvarekomponenter gjør ved å undersøke kildekoden direkte, i stedet for å stole på stort sett begrenset dokumentasjon eller anbefalinger.
Microsoft Application Inspector støtter parsing av forskjellige programmeringsspråk, Disse inkluderer: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, osv., samt inkludering av HTML-, JSON- og tekstutdataformater.
Microsoft Application Inspector-utviklere sier det er designet for å brukes individuelt eller i stor skala og den kan analysere millioner av kildekodelinjer for komponenter bygget med mange forskjellige programmeringsspråk.
Microsoft bruker Application Inspector til å identifisere viktige endringer i en komponents funksjonssett over tid (versjon etter versjon), da de kan indikere alt fra en økt angrepsflate til en ondsinnet bakdør.
De bruker også verktøyet til å identifisere høyrisikokomponenter og de med uventede egenskaper som krever ytterligere gransking. Komponenter med høy risiko inkluderer de som er involvert i områder som kryptografi, autentisering eller deserialisering der et sårbarhet sannsynligvis vil forårsake flere problemer.
som Målet er å raskt identifisere tredjeparts programvarekomponenter i fare basert på spesifikasjonene, men verktøyet er også nyttig i mange usikre sammenhenger.
utgangspunktet, dette er de viktigste egenskapene fra Microsoft Application Inspector:
- En JSON-basert regelmotor som utfører statisk analyse.
- Evnen til å analysere millioner av kildekodelinjer fra komponenter opprettet med mange språk.
- Evnen til å identifisere høyrisikokomponenter og de med uventede egenskaper.
- Evnen til å identifisere endringer i en komponents funksjonssett, versjon for versjon, som kan indikere alt fra en ondsinnet bakdør til en større angrepsflate.
- Evnen til å generere resultater i flere formater, inkludert JSON og HTML.
- Evnen til å oppdage funksjoner som dekker Microsoft Azure, Amazon Web Services og Google Cloud Platform service API-er og operativsystemfunksjoner, for eksempel filsystem, sikkerhetsfunksjoner og applikasjonsrammer.
Som forventet plattform og krypto er godt dekket, med støtte for symmetrisk, asymmetrisk, hash og TLS.
Datatypene kan kontrolleres for risiko, inkludert sensitiv og personlig identifiserbar informasjon.
Andre kontroller inkluderer operativsystemfunksjoner som plattformidentifikasjon, filsystem, register- og brukerkontoer og sikkerhetsfunksjoner som autentisering og autorisasjon.
Endelig for de som er interessert Når de tester Microsoft Application Inspector, bør de vite at det allerede er det tilgjengelig på GitHub.