Microsoft telah merilis Microsoft Application Inspector, sebuah alat open source (!) Lintas platform untuk menganalisis kode sumber.
Aplikasi Inspektur berbeda dari alat analisis statis tradisional dalam hal itu tidak berusaha mengidentifikasi pola "baik" atau "buruk"; dia akan melaporkan bahwa dia akan mendeteksi, berdasarkan set awal lebih dari 500 templat aturan untuk mendeteksi fungsi, termasuk fungsi yang memengaruhi keamanan, seperti penggunaan kriptografi, dll.
Tujuan utama Application Inspector adalah identifikasi fungsi kode sumber yang sistematis dan dapat diukur yang tidak ditemukan dalam analisis statis tipikal lainnya. Ini memungkinkan pengembang dan pakar keamanan untuk memverifikasi tujuan komponen yang dimaksud, misalnya, yang digunakan perpustakaan hanya melakukan apa yang dinyatakan di dalamnya.
Aplikasi modern sangat bergantung pada perangkat lunak yang ditulis di luar perusahaan Anda, yang membawa risiko. Inspektur Aplikasi dapat membantu menentukan karakteristik aplikasi yang menarik dengan memeriksa kode sumber, menghemat waktu yang cukup lama dibandingkan dengan analisis "manual".
Aplikasi ini adalah alat klien berdasarkan .NET Core, sehingga akan berjalan pada Windows, Linux atau macOS dan tidak memerlukan hak tinggi, serta database lokal, komunikasi jaringan atau telemetri. Untuk memulainya, cukup gunakan baris perintah dotnet standar untuk memanggil, misalnya, dotnet ApplicationInspector.dll jika Anda menjalankan Linux atau macOS atau Windows AppInspector.exe.
> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options> Microsoft Application Inspector 1.0.17 ApplicationInspector 1.0.17 (c) Microsoft Corporation. All rights reserved ERROR(S): No verb selected. analyze Inspect source directory/file/compressed file (.tgz|zip) against defined characteristics tagdiff Compares unique tag values between two source paths tagtest Test presence of smaller set or custom tags in source (compare or verify modes) exporttags Export default unique rule tags to view what features may be detected verifyrules Verify rules syntax is valid help Display more information on a specific command version Display version information
Anda dapat menambah / mengedit / menghapus aturan atau pola standar sesuai kebutuhan. Dimungkinkan juga untuk menambahkan aturan Anda sendiri ke jalur terpisah ke set default dan menyimpan set default atau mengecualikannya menggunakan opsi baris perintah.
Area pengujian dan aplikasi:
- Aliran Kontrol: Eksekusi Kode Dinamis, Manajemen Proses.
- Kriptografi: Enkripsi, Hashing, Rahasia, Pengacakan.
- Operasi OS: Sistem File, Variabel Lingkungan, Operasi Jaringan, Akun Pengguna, Windows Registry.
- Data: JSON / XML, Rahasia / Kunci Akses, Data Pribadi Sensitif, SQL / ORM.
- Penanganan Data: Serialisasi Objek (XML / JSON), Flash, PDF, Silverlight, Penggunaan Media Audio / Video atau Parsing, Bluetooth, Seluler, RPC.
- Kerangka Kerja: Pengembangan, Pengujian, Ketergantungan.
Secara default, Inspektur Aplikasi membuat laporan berbasis html untuk menggambarkan fitur, ringkasan proyek, dan metadata yang ditemukan. Opsi format output JSON dan TEXT juga didukung.
Halaman proyek GitHub .