Microsoft lanz贸 Microsoft Application Inspector, una herramienta de c贸digo abierto multiplataforma (!) Para analizar el c贸digo fuente.
Application Inspector se diferencia de las herramientas tradicionales de an谩lisis est谩tico en que no intenta identificar patrones "buenos" o "malos"; informar谩 que detectar谩, seg煤n el conjunto inicial de m谩s de 500 plantillas de reglas para detectar funciones, incluidas las funciones que afectan la seguridad, como el uso de criptograf铆a, etc.
El objetivo principal de Application Inspector es una identificaci贸n sistem谩tica y escalable de las funciones del c贸digo fuente que no se encuentran en otros analizadores est谩ticos t铆picos. Esto permite a los desarrolladores y profesionales de seguridad verificar los objetivos previstos de los componentes, por ejemplo, que la biblioteca utilizada solo hace lo que dice.
Las aplicaciones modernas dependen en gran medida del software escrito fuera de su empresa, lo que conlleva riesgos. Application Inspector puede ayudar a determinar caracter铆sticas interesantes de la aplicaci贸n examinando el c贸digo fuente, ahorrando un tiempo considerable en comparaci贸n con el an谩lisis "manual".
La aplicaci贸n es una herramienta cliente basada en .NET Core, por lo que funcionar谩 en Windows, Linux o macOS y no requiere privilegios elevados, as铆 como una base de datos local, comunicaciones de red o telemetr铆a. Para iniciarlo, simplemente use la l铆nea de comando est谩ndar de dotnet para llamar, por ejemplo, dotnet ApplicationInspector.dll si est谩 ejecutando Linux o macOS o Windows AppInspector.exe.
> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options> Microsoft Application Inspector 1.0.17 ApplicationInspector 1.0.17 (c) Microsoft Corporation. All rights reserved ERROR(S): No verb selected. analyze Inspect source directory/file/compressed file (.tgz|zip) against defined characteristics tagdiff Compares unique tag values between two source paths tagtest Test presence of smaller set or custom tags in source (compare or verify modes) exporttags Export default unique rule tags to view what features may be detected verifyrules Verify rules syntax is valid help Display more information on a specific command version Display version information
Puede agregar / editar / eliminar reglas o patrones est谩ndar seg煤n sea necesario. Tambi茅n es posible agregar sus propias reglas a una ruta separada al conjunto predeterminado y guardar el conjunto predeterminado o excluirlas usando las opciones de la l铆nea de comandos.
脕reas de prueba y aplicaci贸n:
- Flujo de control: ejecuci贸n din谩mica de c贸digo, gesti贸n de procesos.
- Criptograf铆a: Cifrado, Hashing, Secretos, Aleatorizaci贸n.
- Operaciones del sistema operativo: sistema de archivos, variables de entorno, operaciones de red, cuentas de usuario, registro de Windows.
- Datos: JSON / XML, Secretos / Claves de acceso, Datos personales confidenciales, SQL / ORM.
- Manejo de datos: serializaci贸n de objetos (XML / JSON), Flash, PDF, Silverlight, uso o an谩lisis de medios de audio / video, Bluetooth, celular, RPC.
- Marcos: desarrollo, pruebas, dependencias.
De manera predeterminada, el Inspector de aplicaciones genera un informe basado en html para ilustrar las caracter铆sticas, un resumen del proyecto y los metadatos encontrados. Las opciones de formato de salida JSON y TEXT tambi茅n son compatibles.
P谩gina del proyecto GitHub .