マイクロソフトは、ソースコード解析ツールアプリケーションインスペクタのその内部使用のソフトウェア機能をオープンソース化しています。
現代のソフトウェア開発プラクティスは、一般的に、彼らは別の組織によってチーム、外部のベンダーやオープンソースコミュニティの誰かの書き込みであるかどうか、既存のコンポーネントをベースにしたアプリケーションのビルド数百に必要です。これは、速度など多くのメリット、開発プロセス、ソフトウェアの品質と相互運用性をもたらすだけでなく、隠された複雑さとリスクをもたらすでしょうが。
このような状況に対処するには、Microsoftは、ソフトウェアのソースコードアナライザの機能でアプリケーションのインスペクタを使用して、カスタマイズを使用してソフトウェアのソースコードの静的解析機能を識別するために、JSONベースのルールエンジンすることができ、その内部のツールを紹介し、プログラムの機能を理解します。
このツールは、従来の静的解析ツールは異なる、それは「良い」または「悪い」モデルを特定しようとしないということであるが、報告書はの影響を含む500以上の定期的なパターンの種類、及び特徴検出を、見つけたものに基づいてそのような暗号化技術などを用いなどのセキュリティ機能、。
次の例では、アプリケーションのインスペクタには、次の機能を認識します。
- FileOperation.Write
- Network.Connection.Http
- Process.DynamicExecution
これらの機能は、私たちのプログラムに関する多くの情報を伝えることができます。
信頼の指標フィルタを備えたアプリケーションインスペクタ、偽陽性を最小限に抑えることができ、機能モードの数百人で検出されたデフォルトルール定義された条件とのマッチングロジックから一致させることができ、カバー多くの一般的なプログラミング言語、それは特性の次のタイプのために良いサポートを提供します。
- アプリケーションフレームワーク(開発、テスト)
- クラウド/サービスAPI(マイクロソフトのAzure、アマゾンAWSやGoogleクラウドプラットフォーム)
- 暗号化関連(対称、非対称、ハッシュ、TLS)
- データ型(感受性個人情報)
- オペレーティングシステム機能(プラットフォームの識別、ファイルシステム、レジストリ、およびユーザアカウント)
- セキュリティ機能(認証および承認)
詳細表示:
https://github.com/Microsoft/ApplicationInspector
https://www.microsoft.com/security/blog/2020/01/16/introducing-microsoft-application-inspector