A Microsoft anunciou o lançamento do código-fonte do sua ferramenta de análise de código-fonte "Inspetor de aplicativos da Microsoft ", para ajudar os desenvolvedores que dependem de componentes de software externos. Microsoft Application Inspector é um analisador de código fonte Projetado para revelar recursos importantes e outras características de componentes de software, ele usa análise estática com um mecanismo de regras baseado em JSON.
Este analisador de código difere de outras ferramentas do mesmo tipo porque não se limita a detectar apenas práticas de programação, Sendo que é projetado de tal forma que, durante o controle de código, aquelas características que geralmente requerem uma análise manual cuidadosa são identificadas e destacadas.
De acordo com as explicações fornecidas pela Microsoft sobre a ferramenta:
O Inspetor de aplicativos da Microsoft não tenta identificar modelos "bons" ou "ruins". Você se contenta em relatar o que descobrir, referindo-se a um conjunto de mais de 400 modelos de regras para detecção de recursos. De acordo com a Microsoft, isso também inclui recursos que têm impacto na segurança, como o uso de criptografia e muito mais.
A ferramenta funciona a partir da linha de comando e é multiplataforma. Ele é projetado para verificar os componentes antes de usar para ajudar a determinar o que o software é ou faz.
Os dados que você fornece podem ser úteis para reduzir o tempo necessário para determinar o que os componentes de software fazem examinando o código-fonte diretamente, em vez de depender de documentação ou recomendações limitadas.
Inspetor de aplicativo da Microsoft suporta a análise de várias linguagens de programação, Esses incluem: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, etc, bem como a inclusão de HTML, JSON e formatos de saída de texto.
Os desenvolvedores do Microsoft Application Inspector dizem que é projetado para ser usado individualmente ou em escala e pode analisar milhões de linhas de código-fonte para componentes construídos usando muitas linguagens de programação diferentes.
A Microsoft usa o Inspetor de aplicativos para identificar as principais alterações no conjunto de recursos de um componente ao longo do tempo (versão por versão), pois eles podem indicar qualquer coisa, desde um aumento da superfície de ataque a um backdoor malicioso.
Eles também usam a ferramenta para identificar componentes de alto risco e aqueles com características inesperadas que requerem um escrutínio adicional. Os componentes de alto risco incluem aqueles envolvidos em áreas como criptografia, autenticação ou desserialização, onde uma vulnerabilidade provavelmente causaria mais problemas.
Já que o objetivo é identificar rapidamente componentes de software de terceiros em risco com base em suas especificidades, mas a ferramenta também é útil em muitos contextos inseguros.
Basicamente essas são as características mais importantes Inspetor de aplicativos da Microsoft:
- Um mecanismo de regras baseado em JSON que executa análise estática.
- A capacidade de analisar milhões de linhas de código-fonte de componentes criados com várias linguagens.
- A capacidade de identificar componentes de alto risco e aqueles com características inesperadas.
- A capacidade de identificar alterações no conjunto de recursos de um componente, versão por versão, que pode indicar qualquer coisa, desde um backdoor malicioso até uma superfície de ataque maior.
- A capacidade de gerar resultados em vários formatos, incluindo JSON e HTML.
- A capacidade de descobrir recursos que abrangem o Microsoft Azure, Amazon Web Services e APIs de serviço e recursos do sistema operacional do Google Cloud Platform, como sistema de arquivos, recursos de segurança e estruturas de aplicativos.
Como esperado, plataforma e criptografia estão bem cobertos, com suporte para simétrico, assimétrico, hash e TLS.
Os tipos de dados podem ser verificados quanto a riscos, incluindo informações confidenciais e de identificação pessoal.
Outras verificações incluem funções do sistema operacional, como identificação de plataforma, sistema de arquivos, registro e contas de usuário, e recursos de segurança, como autenticação e autorização.
Finalmente Para aqueles que estão interessados Ao testar o Microsoft Application Inspector, eles devem saber que já está disponível no GitHub.