Nasza strona używa cookies. Dowiedz się więcej o celu ich używania i zmianie ustawień w przeglądarce. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Microsoft Application Inspector dostępny już nie tylko dla Microsoftu

Microsoft upublicznił swoje dotychczas wewnętrzne narzędzie Application Inspector, które służy m.in. do wyszukiwania niepożądanych rzeczy w kodzie.
Microsoft Application Inspector dostępny już nie tylko dla Microsoftu

Microsoft wydał w tym miesiącu swój Application Inspector jako wolne oprogramowanie. Oryginalnie narzędzie było używane wewnątrz firmy, a założeniem było wyszukiwanie cech kodu, które mogą znacznie spowolnić pracę lub być ciężkie do zidentyfikowania manualnie. Dokumentacja narzędzia jest teraz dostępna na GitHubie


Cele

Jednak to nie wszystko, jeżeli chodzi o zastosowanie. Programiści rozwijający Application Inspector zaznaczają, że ich produkt jest inny od tradycyjnych narzędzi używanych do statycznej analizy kodu. Główną różnicą jest to, że nie chodzi mu jedynie o identyfikowanie “złych” czy “dobrych” rzeczy w kodzie, a raczej wykrywanie “interesujących” elementów napisanych przez kogoś z zewnątrz, włączając w to takie, które mogą wprowadzać szkodliwy backdoor lub inaczej zaszkodzić oprogramowaniu

Dany program może być rozwijany przez całą rzeszę deweloperów, dlatego analiza kodu dostarczonego przez każdego z nich może się okazać nie lada wyzwaniem. “Inspektor” nie tylko zatem pomaga w określeniu, czym jest dany element open-source, ale także ułatwia znajdowanie podejrzanych fragmentów. 

Narzędzie to jest również w stanie śledzić zmiany z wersji do wersji, pomagając w wykryciu komponentów wysokiego ryzyka, które głównie dotyczą kryptografii, uwierzytelniania oraz deserializacji. 


Zakres działania

Application Inspector jest w stanie przeanalizować kod napisany w wielu językach. Zaliczają się do nich m.in. C, C++, C#, Java, JavaScript, HTML, Python oraz Ruby i PowerShell. Zakres działania Inspektora jest zatem dosyć szeroki, ponieważ obejmuje najpopularniejsze języki. 

Warto w tym miejscu również zaznaczyć, że App Inspector jest wieloplatformowy i może dostarczać rezultaty w takich formatach jak JSON oraz HTML.


Obsługa

Inspektora można używać poprzez ściągnięcie odpowiedniej binarki. Jeśli ktoś korzysta z wersji .NET Core, to do działania potrzebna będzie wersja przynajmniej 3.0. W razie wątpliwości, można szukać pomocy w Wiki projektu

Application Inspector może zostać uruchomiony w Windowsie, Linuxie lub MacOS i obsługiwać go można z wiersza poleceń w następujący sposób:

> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options>

Microsoft Application Inspector 1.0.17
ApplicationInspector 1.0.17

(c) Microsoft Corporation. All rights reserved

ERROR(S):
No verb selected.

analyze Inspect source directory/file/compressed file (.tgz|zip) against defined characteristics
tagdiff Compares unique tag values between two source paths
tagtest Test presence of smaller set or custom tags in source (compare or verify modes)
exporttags Export default unique rule tags to view what features may be detected
verifyrules Verify rules syntax is valid
help Display more information on a specific command
version Display version information


Podsumowanie

Microsoft nie tylko daje użytkownikom możliwość korzystania z ich narzędzia, ale pozwala im również na wprowadzanie do niego własnych modyfikacji. Używany wcześniej wewnątrz firmy, Application Inspector jest warty uwagi, bo może być kolejnym krokiem do lepszego zabezpieczania aplikacji.

Lubisz dzielić się wiedzą i chcesz zostać autorem?

Podziel się wiedzą z 130 tysiącami naszych czytelników

Dowiedz się więcej