Microsoft Application Inspector dostępny już nie tylko dla Microsoftu

Microsoft wydał w tym miesiącu swój Application Inspector jako wolne oprogramowanie. Oryginalnie narzędzie było używane wewnątrz firmy, a założeniem było wyszukiwanie cech kodu, które mogą znacznie spowolnić pracę lub być ciężkie do zidentyfikowania manualnie. Dokumentacja narzędzia jest teraz dostępna na GitHubie. 

Cele

Jednak to nie wszystko, jeżeli chodzi o zastosowanie. Programiści rozwijający Application Inspector zaznaczają, że ich produkt jest inny od tradycyjnych narzędzi używanych do statycznej analizy kodu. Główną różnicą jest to, że nie chodzi mu jedynie o identyfikowanie “złych” czy “dobrych” rzeczy w kodzie, a raczej wykrywanie “interesujących” elementów napisanych przez kogoś z zewnątrz, włączając w to takie, które mogą wprowadzać szkodliwy backdoor lub inaczej zaszkodzić oprogramowaniu. 

Dany program może być rozwijany przez całą rzeszę deweloperów, dlatego analiza kodu dostarczonego przez każdego z nich może się okazać nie lada wyzwaniem. “Inspektor” nie tylko zatem pomaga w określeniu, czym jest dany element open-source, ale także ułatwia znajdowanie podejrzanych fragmentów. 

Narzędzie to jest również w stanie śledzić zmiany z wersji do wersji, pomagając w wykryciu komponentów wysokiego ryzyka, które głównie dotyczą kryptografii, uwierzytelniania oraz deserializacji. 

Zakres działania

Application Inspector jest w stanie przeanalizować kod napisany w wielu językach. Zaliczają się do nich m.in. C, C++, C#, Java, JavaScript, HTML, Python oraz Ruby i PowerShell. Zakres działania Inspektora jest zatem dosyć szeroki, ponieważ obejmuje najpopularniejsze języki. 

Warto w tym miejscu również zaznaczyć, że App Inspector jest wieloplatformowy i może dostarczać rezultaty w takich formatach jak JSON oraz HTML.

Obsługa

Inspektora można używać poprzez ściągnięcie odpowiedniej binarki. Jeśli ktoś korzysta z wersji .NET Core, to do działania potrzebna będzie wersja przynajmniej 3.0. W razie wątpliwości, można szukać pomocy w Wiki projektu. 

Application Inspector może zostać uruchomiony w Windowsie, Linuxie lub MacOS i obsługiwać go można z wiersza poleceń w następujący sposób:

> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options>

Microsoft Application Inspector 1.0.17
ApplicationInspector 1.0.17

(c) Microsoft Corporation. All rights reserved

ERROR(S):
No verb selected.

analyze      Inspect source directory/file/compressed file (.tgz|zip) against defined characteristics
tagdiff      Compares unique tag values between two source paths
tagtest      Test presence of smaller set or custom tags in source (compare or verify modes)
exporttags   Export default unique rule tags to view what features may be detected
verifyrules  Verify rules syntax is valid
help         Display more information on a specific command
version      Display version information

Podsumowanie

Microsoft nie tylko daje użytkownikom możliwość korzystania z ich narzędzia, ale pozwala im również na wprowadzanie do niego własnych modyfikacji. Używany wcześniej wewnątrz firmy, Application Inspector jest warty uwagi, bo może być kolejnym krokiem do lepszego zabezpieczania aplikacji.