微软已经宣布发布的源代码 您的源代码分析工具”“ Microsoft应用程序检查器”,以帮助依赖于外部软件组件的开发人员。 Microsoft应用程序检查器为 源代码分析器 它旨在显示软件组件的重要功能和其他特征,它使用静态分析和基于JSON的规则引擎。
此代码分析器与相同类型的其他工具不同,因为 它不仅限于仅检测编程实践从那以后 被设计成,在代码控制期间, 识别并突出显示通常需要仔细进行手动分析的那些特征。
根据Microsoft提供的有关该工具的说明:
Microsoft Application Inspector不会尝试识别“好”或“坏”模型。 您可以通过参考400多个用于特征检测的规则模板来报告发现的内容。 根据Microsoft的说法,这还包括对安全性有影响的功能,例如加密的使用等。
该工具可从命令行运行,并且是跨平台的。 它旨在在使用之前扫描组件,以帮助确定软件的用途。
您提供的数据可通过直接检查源代码而不是依赖大多数有限的文档或建议来减少确定软件组件执行工作所需的时间。
Microsoft应用程序检查器 支持各种编程语言的解析, 这些包括: C,C ++,C#,Java,JavaScript,HTML,Go,PowerShell, 等等,以及包含HTML,JSON和文本输出格式。
Microsoft Application Inspector开发人员说 设计用于单独使用或大规模使用 它可以分析使用多种不同编程语言构建的组件的数百万行源代码。
Microsoft使用Application Inspector来识别组件功能集随时间推移(按版本划分)的关键更改,因为它们可以指示从增加的攻击面到恶意的后门程序的所有内容。
他们还使用该工具识别高风险组件 以及那些具有意外特征的事物,需要进行额外的审查。 高风险组件包括那些可能会导致更多问题的加密,身份验证或反序列化等领域的组件。
如 目标是快速识别第三方软件组件 根据其具体情况可能会有风险,但是该工具在许多不安全的情况下也很有用。
基本上, 这些是最重要的特征 Microsoft应用程序检查器:
- 基于JSON的规则引擎,执行静态分析。
- 从使用多种语言创建的组件中分析数百万行源代码的能力。
- 识别高风险组件和具有意外特征的组件的能力。
- 识别组件功能集(逐个版本)更改的能力,可以指示从恶意后门到较大攻击面的所有内容。
- 能够以多种格式生成结果,包括JSON和HTML。
- 发现涵盖Microsoft Azure,Amazon Web Services和Google Cloud Platform服务API的功能以及操作系统功能(例如文件系统,安全功能和应用程序框架)的能力。
不出所料 平台和加密货币都涵盖了,并支持对称,非对称,哈希和TLS。
可以检查数据类型的风险,包括敏感的个人身份信息。
其他检查包括操作系统功能(例如平台标识,文件系统,注册表和用户帐户)以及安全功能(例如身份验证和授权)。
最后 对于那些有兴趣的人 在测试Microsoft Application Inspector时,他们应该知道它已经 在GitHub上可用。