Microsoft, kaynak kodunun yayınlandığını duyurdu. kaynak kodu analiz aracınız "Microsoft Uygulama Denetçisi ", harici yazılım bileşenlerine güvenen geliştiricilere yardımcı olmak için. Microsoft Uygulama Denetçisi bir kaynak kodu çözümleyicisi Yazılım bileşenlerinin önemli özelliklerini ve diğer özelliklerini ortaya çıkarmak için tasarlanmış olup, JSON tabanlı bir kural motoruyla statik analiz kullanır.
Bu kod analizörü, aynı türdeki diğer araçlardan farklıdır çünkü sadece programlama uygulamalarını tespit etmekle sınırlı değildir, beri öyle tasarlandı ki, kod kontrolü sırasında, Genellikle dikkatli bir manuel analiz gerektiren bu özellikler belirlenir ve vurgulanır.
Microsoft'un araçla ilgili yaptığı açıklamalara göre:
Microsoft Application Inspector, "iyi" veya "kötü" modelleri belirlemeye çalışmaz. Özellik tespiti için bulduklarını 400'den fazla kural şablonuna başvurarak raporlamak içeriktir. Microsoft'a göre bu, şifreleme kullanımı ve daha fazlası gibi güvenlik etkisine sahip özellikleri de içeriyor.
Araç, komut satırından çalışır ve çapraz platformdur. Yazılımın ne olduğunu veya ne yaptığını belirlemeye yardımcı olmak için kullanmadan önce bileşenleri taramak üzere tasarlanmıştır.
Sağladığınız veriler, çoğunlukla sınırlı belgelere veya önerilere güvenmek yerine, kaynak kodunu doğrudan inceleyerek yazılım bileşenlerinin ne yaptığını belirlemek için gereken süreyi azaltmada yardımcı olabilir.
Microsoft Uygulama Denetçisi çeşitli programlama dillerinin ayrıştırılmasını desteklerBunlar şunları içerir: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, vb, ayrıca HTML, JSON ve metin çıktı formatlarının dahil edilmesi.
Microsoft Application Inspector geliştiricileri şunu söylüyor: tek tek veya geniş ölçekte kullanılmak üzere tasarlanmıştır ve birçok farklı programlama dili kullanılarak oluşturulmuş milyonlarca bileşen kaynak kodunu ayrıştırabilir.
Microsoft, artan bir saldırı yüzeyinden kötü niyetli bir arka kapıya kadar her şeyi gösterebildiğinden, zaman içinde bir bileşenin özellik kümesinde (sürüme göre) önemli değişiklikleri belirlemek için Uygulama Denetçisi'ni kullanır.
Aracı, yüksek riskli bileşenleri belirlemek için de kullanırlar ve ek inceleme gerektiren beklenmedik özelliklere sahip olanlar. Yüksek riskli bileşenler, bir güvenlik açığının daha fazla soruna neden olabileceği kriptografi, kimlik doğrulama veya seriyi kaldırma gibi alanlarda yer alan bileşenleri içerir.
olarak amaç, üçüncü taraf yazılım bileşenlerini hızlı bir şekilde tanımlamaktır kendi özelliklerine göre risk altındadır, ancak araç aynı zamanda birçok güvenli olmayan bağlamda da yararlıdır.
temelde, bunlar en önemli özellikler Microsoft Application Inspector'dan:
- Statik analiz gerçekleştiren JSON tabanlı bir kural motoru.
- Birçok dilde oluşturulmuş bileşenlerden milyonlarca satırlık kaynak kodu analiz etme yeteneği.
- Yüksek riskli bileşenleri ve beklenmedik özelliklere sahip bileşenleri belirleme yeteneği.
- Kötü niyetli bir arka kapıdan daha büyük bir saldırı yüzeyine kadar her şeyi gösterebilen, bir bileşenin özellik setinde sürüm bazında değişiklikleri tanımlama yeteneği.
- JSON ve HTML dahil olmak üzere birden çok formatta sonuç üretme yeteneği.
- Microsoft Azure, Amazon Web Services ve Google Cloud Platform hizmeti API'lerini kapsayan özellikleri ve dosya sistemi, güvenlik özellikleri ve uygulama çerçeveleri gibi işletim sistemi özelliklerini keşfetme yeteneği.
Beklendiği gibi, platform ve kripto iyi kapsanmıştırsimetrik, asimetrik, karma ve TLS desteği ile.
Hassas ve kişisel olarak tanımlanabilir bilgiler dahil olmak üzere veri türleri riskler açısından kontrol edilebilir.
Diğer kontroller; platform tanımlama, dosya sistemi, kayıt ve kullanıcı hesapları gibi işletim sistemi işlevlerini ve kimlik doğrulama ve yetkilendirme gibi güvenlik özelliklerini içerir.
Nihayet ilgilenenler için Microsoft Application Inspector'ı test ederken, bunun zaten olduğunu bilmeleri gerekir. GitHub'da mevcuttur.