Microsoft je napovedal izdajo izvorne kode orodje za analizo izvorne kode "Microsoftov inšpektor aplikacij ", da bi razvijalcem, ki se zanašajo na zunanje programske komponente, pomagali. Microsoft Application Inspector je analizator izvorne kode Zasnovan tako, da razkriva pomembne lastnosti in druge značilnosti komponent programske opreme, uporablja statično analizo z mehanizmom pravil na osnovi JSON.
Ta analizator kode se razlikuje od drugih orodij iste vrste, ker ni omejeno na zaznavanje samo programskih praks, od je zasnovan tako, da, med nadzorom kode, opredeljene in poudarjene so tiste značilnosti, ki običajno zahtevajo natančno ročno analizo.
Glede na pojasnila Microsofta o orodju:
Microsoft Application Inspector ne poskuša prepoznati "dobrih" ali "slabih" modelov. Vsebina je poročanje o ugotovitvah s sklicevanjem na nabor več kot 400 predlog pravil za zaznavanje lastnosti. Po navedbah Microsofta to vključuje tudi funkcije, ki vplivajo na varnost, na primer uporabo šifriranja in še več.
Orodje deluje iz ukazne vrstice in je večplastno. Zasnovan je za skeniranje komponent pred uporabo, da pomaga ugotoviti, kaj programska oprema je ali počne.
Podatki, ki jih posredujete, so lahko v pomoč pri skrajšanju časa, ki je potreben za določitev, kaj delajo programske komponente, tako da neposredno preučite izvorno kodo, namesto da se zanašate na večinoma omejeno dokumentacijo ali priporočila.
Microsoftov aplikacijski inšpektor podpira razčlenjevanje različnih programskih jezikov, Tej vključujejo: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, itd., pa tudi vključitev formatov HTML, JSON in izhodnega besedila.
Razvijalci Microsoft Application Inspector pravijo, da je zasnovan za individualno ali obsežno uporabo in lahko analizira milijone vrstic izvorne kode za komponente, zgrajene z uporabo različnih programskih jezikov.
Microsoft s programom Application Inspector prepoznava ključne spremembe nabora komponent sčasoma (različica za različico), saj lahko kažejo vse od povečane površine napada do zlonamernega zakulisja.
Orodje uporabljajo tudi za prepoznavanje komponent z visokim tveganjem in tiste z nepričakovanimi lastnostmi, ki zahtevajo dodaten nadzor. Komponente z visokim tveganjem vključujejo tiste, ki sodelujejo na področjih, kot so kriptografija, preverjanje pristnosti ali deserializacija, kjer bi ranljivost verjetno povzročila več težav.
Od takrat cilj je hitro prepoznati komponente programske opreme drugih proizvajalcev ogroženo glede na njegove posebnosti, vendar je orodje uporabno tudi v mnogih negotovih okoljih.
V bistvu, to so najpomembnejše značilnosti od Microsoftovega nadzornika aplikacij:
- Mehanizem pravil, ki temelji na JSON in izvaja statično analizo.
- Sposobnost analiziranja milijonov vrstic izvorne kode iz komponent, ustvarjenih z več jeziki.
- Sposobnost prepoznavanja visoko tveganih komponent in tistih z nepričakovanimi lastnostmi.
- Sposobnost prepoznavanja sprememb nabora komponent, od različice do različice, ki lahko kažejo kar koli, od zlonamernega zakulisja do večje površine napada.
- Sposobnost ustvarjanja rezultatov v več formatih, vključno z JSON in HTML.
- Sposobnost odkrivanja funkcij, ki zajemajo API-je storitve Microsoft Azure, Amazon Web Services in Google Cloud Platform ter funkcije operacijskega sistema, kot so datotečni sistem, varnostne funkcije in ogrodja aplikacij.
Kot je bilo pričakovano, platforma in kripto sta dobro pokrita, s podporo za simetrično, asimetrično, razpršeno in TLS.
Vrste podatkov je mogoče preveriti glede tveganj, vključno z občutljivimi podatki in osebnimi podatki.
Druga preverjanja vključujejo funkcije operacijskega sistema, kot so identifikacija platforme, datotečni sistem, register in uporabniški računi ter varnostne funkcije, kot sta preverjanje pristnosti in avtorizacija.
Končno za tiste, ki jih zanima Pri preizkušanju Microsoftovega aplikacijskega inšpektorja bi morali vedeti, da je že na voljo na GitHub.