أصدرت Microsoft Microsoft Application Inspector ، وهي أداة مفتوحة المصدر (!) عبر النظام الأساسي لتحليل التعليمات البرمجية المصدر.
يختلف تطبيق المفتش عن أدوات التحليل الثابتة التقليدية لأنه لا يحاول تحديد الأنماط "الجيدة" أو "السيئة" ؛ سيقدم تقريرًا بأنه سوف يكتشف ، استنادًا إلى المجموعة الأولية التي تضم أكثر من 500 قالب من قواعد الكشف عن الوظائف ، بما في ذلك الوظائف التي تؤثر على الأمان ، مثل استخدام التشفير ، إلخ.
الهدف الرئيسي من Application Inspector هو تحديد منهجي وقابل للتطوير لوظائف شفرة المصدر التي لا توجد في أجهزة التحليل الثابتة النموذجية الأخرى. يسمح هذا للمطورين وخبراء الأمن بالتحقق من الأهداف المقصودة للمكونات ، على سبيل المثال ، أن المكتبة المستخدمة لا تقوم إلا بما تم الإعلان عنها فيه.
تعتمد التطبيقات الحديثة اعتمادًا كبيرًا على البرامج المكتوبة خارج شركتك ، والتي تنطوي على مخاطر. يمكن أن يساعد تطبيق Inspector في تحديد الخصائص المهمة للتطبيق من خلال فحص التعليمات البرمجية المصدر ، مما يوفر وقتًا كبيرًا مقارنة بالتحليل "اليدوي".
التطبيق عبارة عن أداة عميل تستند إلى .NET Core ، لذلك سيعمل على أنظمة Windows أو Linux أو macOS ولا يتطلب امتيازات مرتفعة ، بالإضافة إلى قاعدة بيانات محلية أو اتصالات شبكة أو القياس عن بعد. لبدء تشغيله ، استخدم سطر أوامر dotnet القياسي للاتصال ، على سبيل المثال ، dotnet ApplicationInspector.dll إذا كنت تقوم بتشغيل Linux أو macOS أو Windows AppInspector.exe.
> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options> Microsoft Application Inspector 1.0.17 ApplicationInspector 1.0.17 (c) Microsoft Corporation. All rights reserved ERROR(S): No verb selected. analyze Inspect source directory/file/compressed file (.tgz|zip) against defined characteristics tagdiff Compares unique tag values between two source paths tagtest Test presence of smaller set or custom tags in source (compare or verify modes) exporttags Export default unique rule tags to view what features may be detected verifyrules Verify rules syntax is valid help Display more information on a specific command version Display version information
يمكنك إضافة / تحرير / حذف القواعد أو الأنماط القياسية حسب الحاجة. من الممكن أيضًا إضافة القواعد الخاصة بك إلى مسار منفصل إلى المجموعة الافتراضية وحفظ المجموعة الافتراضية أو استبعادها باستخدام خيارات سطر الأوامر.
مجالات الاختبار والتطبيق:
- التحكم في التدفق: تنفيذ التعليمات البرمجية الديناميكية وإدارة العمليات.
- التشفير: التشفير ، التجزئة ، الأسرار ، التوزيع العشوائي.
- عمليات نظام التشغيل: نظام الملفات ، متغيرات البيئة ، عمليات الشبكة ، حسابات المستخدمين ، سجل ويندوز.
- البيانات: JSON / XML ، الأسرار / مفاتيح الوصول ، البيانات الشخصية الحساسة ، SQL / ORM.
- معالجة البيانات: تسلسل الكائنات (XML / JSON) ، فلاش ، PDF ، Silverlight ، استخدام وسائط الصوت / الفيديو أو تحليلها ، Bluetooth ، Cellular ، RPC.
- الأطر: التطوير والاختبار والتبعيات.
افتراضيًا ، ينشئ "مفتش التطبيق" تقريرًا يستند إلى html لتوضيح الميزات وملخص المشروع والبيانات الوصفية التي تم العثور عليها. كما يتم دعم خيارات تنسيق إخراج JSON و TEXT.
صفحة مشروع جيثب .