Microsoft оголосила про вихід вихідного коду ваш інструмент аналізу вихідного коду "Інспектор програм Microsoft ", щоб допомогти розробникам, які покладаються на зовнішні програмні компоненти. Інспектор програм Microsoft - це аналізатор вихідного коду Розроблений для виявлення важливих особливостей та інших характеристик програмних компонентів, він використовує статичний аналіз за допомогою механізму правил на основі JSON.
Цей аналізатор коду відрізняється від інших інструментів того ж типу тим, що він не обмежується виявленням лише практик програмування, оскільки спроектовано таким чином, що, під час перевірки коду, визначаються та виділяються ті характеристики, які, як правило, вимагають ретельного ручного аналізу.
Відповідно до пояснень, наданих корпорацією Майкрософт щодо інструменту:
Microsoft Application Inspector не намагається ідентифікувати "хороші" чи "погані" моделі. Зміст повідомляти про те, що він знаходить, посилаючись на набір із понад 400 шаблонів правил для виявлення особливостей. За словами Microsoft, сюди також входять функції, що впливають на безпеку, такі як використання шифрування тощо.
Інструмент працює з командного рядка і є крос-платформним. Він призначений для сканування компонентів перед використанням, щоб допомогти визначити, що таке програмне забезпечення.
Надані вами дані можуть бути корисними для скорочення часу, необхідного для визначення того, що роблять компоненти програмного забезпечення, безпосередньо досліджуючи вихідний код, а не покладаючись на переважно обмежену документацію чи рекомендації.
Інспектор програм Microsoft підтримує синтаксичний аналіз різних мов програмування, До них належать: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, тощо, а також включення форматів HTML, JSON та виведення тексту.
Про це говорять розробники Microsoft Application Inspector призначений для індивідуального або масштабного використання і він може проаналізувати мільйони рядків вихідного коду компонентів, побудованих з використанням багатьох різних мов програмування.
Корпорація Майкрософт використовує Application Inspector для виявлення ключових змін у наборі функцій компонента з часом (версія за версією), оскільки вони можуть вказувати на що завгодно - від збільшеної поверхні атаки до зловмисного бэкдору.
Вони також використовують інструмент для виявлення компонентів високого ризику та ті, що мають несподівані характеристики, що вимагають додаткового контролю. До компонентів високого ризику належать ті, хто задіяний у таких сферах, як криптографія, автентифікація чи десеріалізація, де вразливість може спричинити більше проблем.
З мета - швидко визначити сторонні компоненти програмного забезпечення ризику, виходячи зі своєї специфіки, але засіб також корисний у багатьох небезпечних ситуаціях.
В основному, це найважливіші характеристики від інспектора програм Microsoft:
- Механізм правил на основі JSON, який виконує статичний аналіз.
- Можливість аналізу мільйонів рядків вихідного коду з компонентів, створених багатьма мовами.
- Можливість ідентифікації компонентів високого ризику та компонентів з несподіваними характеристиками.
- Можливість ідентифікувати зміни у наборі функцій компонента, версія за версією, які можуть вказувати на що завгодно - від зловмисного бэкдора до більшої поверхні атаки.
- Можливість генерації результатів у різних форматах, включаючи JSON та HTML.
- Можливість виявлення функцій, які охоплюють API Microsoft Azure, Amazon Web Services та Google Cloud Platform, а також функції операційної системи, такі як файлова система, функції безпеки та фреймворки.
Як і очікувалося, платформа та криптовалюта добре охоплені, з підтримкою симетричного, асиметричного, хеш-коду та TLS.
Типи даних можна перевіряти на ризики, включаючи конфіденційну та особисту інформацію.
Інші перевірки включають такі функції операційної системи, як ідентифікація платформи, файлова система, реєстр та облікові записи користувачів, а також функції безпеки, такі як автентифікація та авторизація.
В кінці кінців для зацікавлених Під час тестування Microsoft Application Inspector вони повинні знати, що це вже є доступний на GitHub.