Spoločnosť Microsoft oznámila vydanie zdrojového kódu platformy váš nástroj na analýzu zdrojového kódu "Microsoft Application Inspector ", s cieľom pomôcť vývojárom, ktorí sa spoliehajú na externé softvérové komponenty. Microsoft Application Inspector je analyzátor zdrojového kódu Je navrhnutý tak, aby odhalil dôležité vlastnosti a ďalšie vlastnosti softvérových komponentov, využíva statickú analýzu s motorom pravidiel založeným na JSON.
Tento analyzátor kódu sa líši od ostatných nástrojov rovnakého typu, pretože neobmedzuje sa iba na zisťovanie iba programovacích postupov, od je navrhnutý takým spôsobom, že, počas kontroly kódu, sú identifikované a zvýraznené tie charakteristiky, ktoré vo všeobecnosti vyžadujú dôkladnú manuálnu analýzu.
Podľa vysvetlení poskytnutých spoločnosťou Microsoft o tomto nástroji:
Microsoft Application Inspector sa nepokúša identifikovať „dobré“ alebo „zlé“ modely. Obsahom je oznamovať, čo zistí, odkazom na množinu viac ako 400 šablón pravidiel na detekciu funkcií. Podľa spoločnosti Microsoft sem patria aj funkcie, ktoré majú dopad na bezpečnosť, napríklad použitie šifrovania a ďalšie.
Nástroj pracuje z príkazového riadku a je multiplatformný. Je navrhnutý na skenovanie komponentov pred použitím, aby bolo možné určiť, čo softvér je alebo robí.
Údaje, ktoré poskytnete, môžu byť užitočné na skrátenie času potrebného na určenie toho, čo softvérové komponenty robia, priamym preskúmaním zdrojového kódu, a nie spoliehaním sa na väčšinou obmedzenú dokumentáciu alebo odporúčania.
Inšpektor aplikácií Microsoft podporuje syntaktickú analýzu rôznych programovacích jazykov, Tie obsahujú: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, atď., ako aj zahrnutie formátov HTML, JSON a textových výstupov.
Tvrdia to vývojári aplikácie Microsoft Application Inspector je navrhnutý na použitie jednotlivo alebo v mierke a dokáže analyzovať milióny riadkov zdrojového kódu komponentu vytvoreného pomocou mnohých rôznych programovacích jazykov.
Spoločnosť Microsoft používa nástroj Application Inspector na identifikáciu kľúčových zmien v súbore funkcií komponentu v priebehu času (verzia po verzii), pretože môžu naznačovať čokoľvek, od zväčšeného povrchu útoku až po škodlivý zadný vrátok.
Tento nástroj tiež používajú na identifikáciu vysoko rizikových komponentov a osoby s neočakávanými vlastnosťami, ktoré si vyžadujú ďalšiu kontrolu. Medzi vysoko rizikové komponenty patria tie, ktoré sú zapojené do oblastí ako kryptografia, autentifikácia alebo deserializácia, kde by zraniteľnosť pravdepodobne spôsobila ďalšie problémy.
ako cieľom je rýchla identifikácia softvérových komponentov tretích strán na základe jeho špecifík je rizikový, ale tento nástroj je tiež užitočný v mnohých neistých kontextoch.
v podstate, toto sú najdôležitejšie vlastnosti od Microsoft Application Inspector:
- Stroj s pravidlami založený na JSON, ktorý vykonáva statickú analýzu.
- Schopnosť analyzovať milióny riadkov zdrojového kódu z komponentov vytvorených v mnohých jazykoch.
- Schopnosť identifikovať vysoko rizikové komponenty a komponenty s neočakávanými vlastnosťami.
- Schopnosť identifikovať zmeny v súbore funkcií komponentu, verzia po verzii, ktoré môžu naznačovať čokoľvek, od škodlivého zadného vrátka po väčšiu plochu útoku.
- Schopnosť generovať výsledky vo viacerých formátoch vrátane JSON a HTML.
- Schopnosť objavovať funkcie, ktoré pokrývajú rozhrania API služieb Microsoft Azure, Amazon Web Services a Google Cloud Platform a funkcie operačného systému, ako je súborový systém, funkcie zabezpečenia a aplikačné rámce.
Podľa očakávania platforma a krypto sú dobre pokrytés podporou symetrických, asymetrických, hash a TLS.
Je možné skontrolovať riziká typov údajov, vrátane citlivých a identifikačných údajov.
Medzi ďalšie kontroly patria funkcie operačného systému, ako je identifikácia platformy, súborový systém, register a používateľské účty, a bezpečnostné funkcie, ako je autentifikácia a autorizácia.
Konečne pre záujemcov Pri testovaní aplikácie Microsoft Application Inspector by mali vedieť, že už je k dispozícii na GitHub.