Llegamos a ustedes gracias a:



Noticias

Microsoft lanza un analizador de código fuente

[28/01/2020] Con el fin de ayudar a los desarrolladores que dependen de componentes de software externos, Microsoft ha introducido un analizador de código fuente, Microsoft Application Inspector.

Descargable desde GitHub, la herramienta de línea de comandos multiplataforma está diseñada para escanear componentes antes de su uso, para ayudar a determinar qué es o qué hace el software. Los datos que proporciona pueden ser útiles para reducir el tiempo necesario para determinar lo que hacen los componentes de software, examinando directamente el código fuente en lugar de basarse en la documentación.

Application Inspector se diferencia de las herramientas tradicionales de análisis estático en que no intenta identificar patrones "buenos" o "malos", según la documentación de Microsoft. Más bien, el instrumento informa de lo que encuentra frente a un conjunto de más de 400 patrones de reglas para la detección de características, incluidas las características que afectan a la seguridad, como el uso de la criptografía.

Otras capacidades clave de Application Inspector incluyen:

  • Un motor de reglas basado en JSON que realiza análisis estáticos.
  • La capacidad de analizar millones de líneas de código fuente de componentes construidos utilizando muchos lenguajes.
  • La capacidad de identificar componentes de alto riesgo y aquellos con características inesperadas.
  • La capacidad de identificar cambios en el conjunto de características de un componente, de versión a versión, lo que puede indicar cualquier cosa, desde una puerta trasera maliciosa hasta una superficie de ataque incrementada.
  • La habilidad de producir resultados en múltiples formatos incluyendo JSON y HTML.
  • La capacidad de detectar características que cubren Microsoft Azure, Amazon Web Services y las API de servicio de la plataforma de nube de Google y las funciones del sistema operativo como el sistema de archivos, las características de seguridad y los marcos de aplicación.

Microsoft dijo que Application Inspector difiere de otras herramientas de análisis estático en que no se limita a detectar las prácticas de programación deficientes; saca a la superficie características del código que sería difícil o lento identificar a través de la inspección manual.