微软开源安全工具 Application Inspector

微软开源安全工具 Application Inspector

Microsoft最近宣布开源了应用程序软件源代码分析工具Application Inspector。源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。

针对这种情况，Microsoft推出了其内部使用的工具是Application Inspector，它是一个软件功能源代码分析器。它可以使用静态分析和可自定义的基于json的规则引擎来识别软件源代码功能，以了解程序的功能。

尽管这将带来许多好处，例如更快的开发进度，软件质量和互操作性等，但也将带来隐藏的复杂性和风险。现在的 Web 应用通常包含数以百计的第三方组件，开发者在使用时主要依靠作者的描述，至于软件安全不安全则并不清楚。

Application Inspector 通过 500 多条规则模式快速识别可能存在安全问题的代码。       

在以下示例中，应用程序检查器可以识别以下功能：

• FileOperation.Write
• Network.Connection.Http
• Process.DynamicExecution

Application Inspector可以最大程度地减少误判匹配以及可自定义的默认规则和条件匹配逻辑，它具有数百种功能检测模式，涵盖了许多流行的编程语言，还为以下类型的功能提供了良好的支持：

• 应用程序框架（开发，测试）
• 云/服务API（Microsoft Azure，Amazon AWS和Google Cloud Platform）
• 密码学（对称，非对称，哈希和TLS）
• 数据类型（敏感的个人身份信息）
• 操作系统功能（平台标识，文件系统，注册表和用户帐户）
• 安全功能（身份验证和授权）

您可以在此处下载Application Inspector。

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2020-01/162059.htm