微軟已經宣布發布源代碼 您的源代碼分析工具”“ Microsoft應用程序檢查器”,以幫助依賴於外部軟件組件的開發人員。 Microsoft應用程序檢查器為 源代碼分析器 它旨在顯示軟件組件的重要功能和其他特徵,它使用靜態分析和基於JSON的規則引擎。
此代碼分析器與相同類型的其他工具不同,因為 它不僅限於僅檢測編程實踐,因為 被設計成,在代碼檢查期間, 識別並突出顯示通常需要仔細進行手動分析的那些特徵。
根據Microsoft提供的有關該工具的說明:
Microsoft Application Inspector不會嘗試識別“好”或“壞”模型。 通過引用用於特徵檢測的400多個規則模板來報告發現的內容。 根據Microsoft的說法,這還包括對安全有影響的功能,例如使用加密等。
該工具可從命令行運行,並且是跨平台的。 它旨在在使用之前掃描組件,以幫助確定軟件的用途。
您提供的數據可通過直接檢查源代碼而不是依賴於大多數有限的文檔或建議來減少確定軟件組件做什麼所需的時間。
Microsoft應用程序檢查器 支持各種編程語言的解析, 這些包括: C,C ++,C#,Java,JavaScript,HTML,Go,PowerShell, 等等,以及包含HTML,JSON和文本輸出格式。
Microsoft Application Inspector開發人員說 設計用於單獨使用或大規模使用 它可以解析使用許多不同編程語言構建的數百萬行組件源代碼。
Microsoft使用Application Inspector來識別組件功能集隨時間推移(按版本劃分)的關鍵更改,因為它們可以指示從增加的攻擊面到惡意的後門程序的所有內容。
他們還使用該工具識別高風險組件 以及那些具有意外特徵的事物,需要進行額外的審查。 高風險組件包括那些可能會導致更多問題的加密,身份驗證或反序列化領域中涉及的組件。
如 目標是快速識別第三方軟件組件 根據其具體情況可能會有風險,但是該工具在許多不安全的情況下也很有用。
基本上, 這些是最重要的特徵 來自Microsoft Application Inspector:
- 基於JSON的規則引擎,執行靜態分析。
- 從使用多種語言創建的組件中分析數百萬行源代碼的能力。
- 識別高風險組件和具有意外特徵的組件的能力。
- 識別組件功能集(逐個版本)更改的能力,可以指示從惡意後門到較大攻擊面的所有內容。
- 能夠以多種格式生成結果,包括JSON和HTML。
- 發現涵蓋Microsoft Azure,Amazon Web Services和Google Cloud Platform服務API的功能以及操作系統功能(例如文件系統,安全功能和應用程序框架)的功能。
不出所料 平台和加密貨幣都涵蓋了,並支持對稱,非對稱,哈希和TLS。
可以檢查數據類型的風險,包括敏感的個人身份信息。
其他檢查包括操作系統功能(例如平台標識,文件系統,註冊表和用戶帳戶)以及安全功能(例如身份驗證和授權)。
終於 對於那些有興趣的人 在測試Microsoft Application Inspector時,他們應該知道它已經 在GitHub上可用。