Microsoft a anunțat lansarea codului sursă al instrumentul dvs. de analiză a codului sursă "Microsoft Application Inspector ", pentru a ajuta dezvoltatorii care se bazează pe componente software externe. Microsoft Application Inspector este un analizor de cod sursă Conceput pentru a dezvălui caracteristici importante și alte caracteristici ale componentelor software, folosește analiza statică cu un motor de reguli bazat pe JSON.
Acest analizor de cod diferă de alte instrumente de același tip deoarece nu se limitează doar la detectarea practicilor de programare, din moment ce este conceput în așa fel încât, în timpul verificării codului, sunt identificate și evidențiate acele caracteristici care necesită în general o analiză manuală atentă.
Conform explicațiilor furnizate de Microsoft despre instrument:
Microsoft Application Inspector nu încearcă să identifice modelele „bune” sau „rele”. Vă mulțumiți să raportați ceea ce găsiți făcând referire la un set de peste 400 de șabloane de reguli pentru detectarea caracteristicilor. Potrivit Microsoft, aceasta include și funcții care au un impact asupra securității, cum ar fi utilizarea criptării și multe altele.
Instrumentul funcționează din linia de comandă și este multiplataforma. Este conceput pentru a scana componentele înainte de utilizare pentru a ajuta la determinarea a ceea ce este sau face software-ul.
Datele pe care le furnizați pot fi utile în reducerea timpului necesar pentru a determina ce fac componentele software examinând direct codul sursă, mai degrabă decât să vă bazați în mare parte pe documentație sau recomandări limitate.
Microsoft Application Inspector acceptă analiza diferitelor limbaje de programare, Acestea includ: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, etc, precum și includerea formatelor de ieșire în HTML, JSON și text.
Dezvoltatorii Microsoft Application Inspector spun asta este conceput pentru a fi utilizat individual sau la scară și poate analiza milioane de linii de cod sursă pentru componente construite folosind multe limbaje de programare diferite.
Microsoft utilizează Inspectorul de aplicații pentru a identifica modificările cheie ale caracteristicilor unei componente setate în timp (versiune cu versiune), deoarece acestea pot indica orice, de la o suprafață de atac crescută până la o ușă din spate rău intenționată.
De asemenea, utilizează instrumentul pentru a identifica componentele cu risc ridicat și cele cu caracteristici neașteptate care necesită o examinare suplimentară. Componentele cu risc ridicat includ cele implicate în domenii precum criptografie, autentificare sau deserializare în care o vulnerabilitate ar provoca probabil mai multe probleme.
ca obiectivul este identificarea rapidă a componentelor software ale unor terți în funcție de specificul său, însă instrumentul este util și în multe contexte nesigure.
practic, acestea sunt cele mai importante caracteristici Microsoft Application Inspector:
- Un motor de reguli bazat pe JSON care efectuează analize statice.
- Capacitatea de a analiza milioane de linii de cod sursă din componente create cu multe limbi.
- Capacitatea de a identifica componentele cu risc ridicat și cele cu caracteristici neașteptate.
- Capacitatea de a identifica modificările aduse setului de caracteristici ale unei componente, versiune cu versiune, care poate indica orice, de la un backdoor rău intenționat la o suprafață mai mare de atac.
- Capacitatea de a genera rezultate în mai multe formate, inclusiv JSON și HTML.
- Capacitatea de a descoperi caracteristici care acoperă API-urile de servicii Microsoft Azure, Amazon Web Services și Google Cloud Platform și caracteristicile sistemului de operare, cum ar fi sistemul de fișiere, caracteristicile de securitate și cadrele de aplicații.
Așa cum era de așteptat, platforma și cripto sunt bine acoperite, cu suport pentru simetric, asimetric, hash și TLS.
Tipurile de date pot fi verificate pentru riscuri, inclusiv informații sensibile și de identificare personală.
Alte verificări includ funcții ale sistemului de operare, cum ar fi identificarea platformei, sistemul de fișiere, registrul și conturile de utilizator și caracteristici de securitate, cum ar fi autentificarea și autorizarea.
În cele din urmă pentru cei interesați La testarea Microsoft Application Inspector, ar trebui să știe că este deja disponibil pe GitHub.