Inanunsyo ng Microsoft ang paglabas ng source code ng ang iyong tool sa pagtatasa ng source code "Microsoft Application Inspector ", upang matulungan ang mga developer na umaasa sa panlabas na mga bahagi ng software. Ang Microsoft Application Inspector ay isang tagasuri ng pinagmulan ng code Idinisenyo upang ipakita ang mahahalagang tampok at iba pang mga katangian ng mga bahagi ng software, gumagamit ito ng static na pagtatasa gamit ang isang engine na batay sa JSON.
Ang code analyzer na ito ay naiiba sa iba pang mga tool ng parehong uri dahil hindi ito limitado sa pagtuklas lamang ng mga kasanayan sa programa, mula noon ay dinisenyo sa paraang iyon, habang sinusuri ang code, ang mga katangiang iyon na sa pangkalahatan ay nangangailangan ng maingat na manu-manong pagtatasa ay makilala at mai-highlight.
Ayon sa mga paliwanag na ibinigay ng Microsoft tungkol sa tool:
Ang Microsoft Application Inspector ay hindi nagtatangka upang makilala ang mga "mabuting" o "masamang" mga modelo. Nilalaman na iulat ang nalaman nito sa pamamagitan ng pagtukoy sa isang hanay ng higit sa 400 mga template ng panuntunan para sa pagtuklas ng tampok. Ayon sa Microsoft, nagsasama rin ito ng mga tampok na may epekto sa seguridad, tulad ng paggamit ng pag-encrypt at iba pa.
Gumagana ang tool mula sa linya ng utos at cross-platform. Dinisenyo ito upang i-scan ang mga bahagi bago gamitin upang matulungan matukoy kung ano ang software o kung ano ang ginagawa nito.
Ang data na iyong ibibigay ay maaaring makatulong sa pagbawas ng oras na kinakailangan upang matukoy kung ano ang ginagawa ng mga bahagi ng software sa pamamagitan ng direktang pagsusuri sa source code, sa halip na umasa sa karamihan ng limitadong dokumentasyon o mga rekomendasyon.
Microsoft Application Inspector Sinusuportahan ang pag-parse ng iba't ibang mga wika ng programa, Kabilang dito ang: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, atbp, pati na rin ang pagsasama ng mga format ng output sa HTML, JSON at teksto.
Sinasabi iyon ng mga developer ng Microsoft Application Inspector ay idinisenyo upang magamit nang isa-isa o sa sukatan at maaari nitong pag-aralan ang milyun-milyong mga linya ng code ng sangkap ng bahagi na binuo gamit ang maraming iba't ibang mga wika ng programa.
Ginagamit ng Microsoft ang Application Inspector upang makilala ang mga pangunahing pagbabago sa tampok na tampok ng isang sangkap na itinakda sa paglipas ng panahon (bersyon ayon sa bersyon), dahil maaari nilang ipahiwatig ang anumang mula sa isang nadagdagan na ibabaw ng pag-atake sa isang nakakahamak na backdoor.
Ginagamit din nila ang tool upang makilala ang mga sangkap na may panganib na mataas at ang mga may hindi inaasahang katangian na nangangailangan ng karagdagang pagsusuri. Kabilang sa mga sangkap na may panganib na mataas ang mga kasangkot sa mga lugar tulad ng cryptography, pagpapatotoo, o deserialization kung saan ang isang kahinaan ay malamang na maging sanhi ng maraming mga problema.
Mula noon ang layunin ay upang mabilis na makilala ang mga bahagi ng software ng third-party nanganganib batay sa mga pagtutukoy nito, ngunit ang tool ay kapaki-pakinabang din sa maraming mga hindi secure na konteksto.
Talaga, ito ang pinakamahalagang katangian mula sa Microsoft Application Inspector:
- Isang panuntunang engine na batay sa JSON na nagsasagawa ng static na pagtatasa.
- Ang kakayahang suriin ang milyun-milyong mga linya ng source code mula sa mga sangkap na nilikha na may maraming mga wika.
- Ang kakayahang makilala ang mga sangkap na may panganib na mataas at ang mga may hindi inaasahang katangian.
- Ang kakayahang makilala ang mga pagbabago sa hanay ng tampok ng isang bahagi, bersyon ayon sa bersyon, na maaaring magpahiwatig ng anumang bagay mula sa isang nakakahamak na backdoor hanggang sa isang mas malaking ibabaw ng pag-atake.
- Ang kakayahang makabuo ng mga resulta sa maraming mga format, kasama ang JSON at HTML.
- Ang kakayahang matuklasan ang mga tampok na sumasakop sa Microsoft Azure, Amazon Web Services, at mga serbisyo ng Google Cloud Platform API at mga tampok sa operating system, tulad ng file system, mga tampok sa seguridad, at mga framework ng application.
Tulad ng inaasahan, ang platform at crypto ay mahusay na sakop, na may suporta para sa simetriko, walang simetrya, hash, at TLS.
Ang mga uri ng data ay maaaring suriin para sa mga panganib, kabilang ang sensitibo at personal na makikilalang impormasyon.
Ang iba pang mga tseke ay may kasamang mga pagpapaandar ng operating system tulad ng pagkilala sa platform, file system, rehistro, at mga account ng gumagamit, at mga tampok sa seguridad tulad ng pagpapatotoo at pahintulot.
Sa wakas para sa mga interesado Sa pagsubok ng Microsoft Application Inspector, dapat nilang malaman na ito ay mayroon na magagamit sa GitHub.