Microsoft đã công bố phát hành mã nguồn của công cụ phân tích mã nguồn của bạn "Trình kiểm tra ứng dụng của Microsoft ", để giúp các nhà phát triển dựa vào các thành phần phần mềm bên ngoài. Trình kiểm tra Ứng dụng của Microsoft là một máy phân tích mã nguồn Được thiết kế để tiết lộ các tính năng quan trọng và các đặc điểm khác của các thành phần phần mềm, nó sử dụng phân tích tĩnh với công cụ quy tắc dựa trên JSON.
Bộ phân tích mã này khác với các công cụ khác cùng loại vì nó không giới hạn ở việc chỉ phát hiện các phương pháp lập trình, từ được thiết kế theo cách mà, trong quá trình kiểm tra mã, những đặc điểm thường yêu cầu phân tích thủ công cẩn thận được xác định và làm nổi bật.
Theo giải thích của Microsoft về công cụ này:
Trình kiểm tra Ứng dụng của Microsoft không cố gắng xác định các mô hình "tốt" hoặc "xấu". Bạn có thể báo cáo những gì bạn tìm thấy bằng cách tham khảo một bộ gồm hơn 400 mẫu quy tắc để phát hiện tính năng. Theo Microsoft, điều này cũng bao gồm các tính năng có ảnh hưởng đến bảo mật, chẳng hạn như sử dụng mã hóa và hơn thế nữa.
Công cụ hoạt động từ dòng lệnh và đa nền tảng. Nó được thiết kế để quét các thành phần trước khi sử dụng để giúp xác định phần mềm đó là gì hoặc làm gì.
Dữ liệu bạn cung cấp có thể hữu ích trong việc giảm thời gian xác định các thành phần phần mềm hoạt động bằng cách kiểm tra mã nguồn trực tiếp, thay vì dựa vào các tài liệu hoặc khuyến nghị chủ yếu hạn chế.
Trình kiểm tra ứng dụng của Microsoft hỗ trợ phân tích cú pháp các ngôn ngữ lập trình khác nhau, Bao gồm các: C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, vv, cũng như bao gồm các định dạng đầu ra trong HTML, JSON và văn bản.
Các nhà phát triển Trình kiểm tra ứng dụng của Microsoft nói rằng được thiết kế để sử dụng riêng lẻ hoặc theo quy mô và nó có thể phân tích hàng triệu dòng mã nguồn cho các thành phần được xây dựng bằng nhiều ngôn ngữ lập trình khác nhau.
Microsoft sử dụng Trình kiểm tra ứng dụng để xác định các thay đổi chính đối với tính năng của thành phần được đặt theo thời gian (từng phiên bản), vì chúng có thể chỉ ra bất kỳ điều gì từ bề mặt tấn công gia tăng đến cửa hậu độc hại.
Họ cũng sử dụng công cụ để xác định các thành phần có nguy cơ cao và những người có đặc điểm không mong muốn cần phải xem xét kỹ lưỡng thêm. Các thành phần rủi ro cao bao gồm những thành phần liên quan đến các lĩnh vực như mật mã, xác thực hoặc giải mã hóa nơi lỗ hổng bảo mật có thể gây ra nhiều vấn đề hơn.
Kể từ khi mục tiêu là nhanh chóng xác định các thành phần phần mềm của bên thứ ba có rủi ro dựa trên các chi tiết cụ thể của nó, nhưng công cụ này cũng hữu ích trong nhiều bối cảnh không an toàn.
Về cơ bản, đây là những đặc điểm quan trọng nhất Trình kiểm tra ứng dụng của Microsoft:
- Công cụ quy tắc dựa trên JSON thực hiện phân tích tĩnh.
- Khả năng phân tích hàng triệu dòng mã nguồn từ các thành phần được tạo bằng nhiều ngôn ngữ.
- Khả năng xác định các thành phần rủi ro cao và những thành phần có đặc điểm không mong đợi.
- Khả năng xác định các thay đổi đối với bộ tính năng của một thành phần, theo từng phiên bản, có thể chỉ ra bất kỳ điều gì từ một cửa hậu độc hại đến một bề mặt tấn công lớn hơn.
- Khả năng tạo kết quả ở nhiều định dạng, bao gồm JSON và HTML.
- Khả năng khám phá các tính năng bao gồm các API dịch vụ Microsoft Azure, Amazon Web Services và Google Cloud Platform và các tính năng của hệ điều hành, chẳng hạn như hệ thống tệp, tính năng bảo mật và khuôn khổ ứng dụng.
Như mong đợi, nền tảng và tiền điện tử được bao phủ tốt, với hỗ trợ đối xứng, bất đối xứng, băm và TLS.
Các loại dữ liệu có thể được kiểm tra rủi ro, bao gồm thông tin nhạy cảm và nhận dạng cá nhân.
Các kiểm tra khác bao gồm các chức năng của hệ điều hành như nhận dạng nền tảng, hệ thống tệp, sổ đăng ký và tài khoản người dùng cũng như các tính năng bảo mật như xác thực và ủy quyền.
Cuối cùng cho những ai quan tâm Trong quá trình kiểm tra Trình kiểm tra ứng dụng của Microsoft, họ nên biết rằng nó đã có sẵn trên GitHub.