Selon les explications fournies par Microsoft à propos de l’outil, il ne fonctionne pas de la même façon que les autres outils de la même gamme qui existent déjà. Microsoft Application Inspector ne tente pas d'identifier les “bons” ou les “mauvais” modèles. Il se contente de rapporter ce qu'il trouve en se rapportant à un ensemble de plus de 400 modèles de règles pour la détection de caractéristiques. Selon Microsoft, cela comprend également les caractéristiques qui ont un impact sur la sécurité comme l'utilisation de chiffrement et plus encore.
L’outil fonctionne en ligne de commande et est multiplateforme. Il est conçu pour scanner les composants avant utilisation afin d'aider à déterminer ce qu'est le logiciel ou ce qu'il fait. Les données qu'il fournit peuvent être utiles pour réduire le temps nécessaire pour déterminer ce que font les composants du logiciel en examinant directement le code source au lieu de se baser sur une documentation ou des recommandations le plus souvent limitées. Microsoft Application Inspector prend en charge l'analyse de divers langages de programmation.
Il s’agit notamment des langages C, C++, C#, Java, JavaScript, HTML, Go, PowerShell, etc. Il comprend des formats de sortie en HTML, en JSON et en texte ; la valeur par défaut est un rapport HTML. « Application Inspector vous aide à mieux vous informer afin de choisir les meilleurs composants pour répondre à vos besoins avec une plus petite empreinte d'inconnues pour garder la surface d'attaque de votre application plus petite. Il vous aide à éviter d'inclure des composants présentant des caractéristiques inattendues dont vous ne voulez pas », a déclaré Microsoft.
Application Inspector peut vous aider à identifier les deltas de fonctionnalités ou les changements entre les versions de composants qui peuvent être critiques pour détecter l'injection de portes dérobées. De plus, selon Microsoft, il peut être utilisé pour automatiser la détection des fonctionnalités d'intérêt pour identifier les composants ayant besoin d’un examen supplémentaire dans le cadre de votre pipeline de construction ou pour créer un référentiel de métadonnées concernant l'ensemble de votre application d'entreprise.
Le but est de rapidement identifier les composants logiciels tiers à risque en fonction de leurs caractéristiques spécifiques, mais l'outil est également utile dans de nombreux contextes non sécuritaires. En gros, voici les fonctionnalités les plus importantes d’Application Inspector :
- un moteur de règles basé sur JSON qui effectue une analyse statique ;
- analyse des millions de lignes de code source à partir de composants construits dans de nombreux langages ;
- identifie les composants à haut risque et ceux qui présentent des caractéristiques inattendues ;
- identifie les modifications apportées à l'ensemble des fonctionnalités d'un composant, version par version, ce qui peut indiquer n'importe quoi, d'une porte dérobée malveillante à une surface d'attaque accrue ;
- produit des résultats dans plusieurs formats, y compris JSON et HTML ;
- détecte des caractéristiques couvrant les API de service de Microsoft Azure, Amazon Web Services et Google Cloud Platform, ainsi que des fonctions du système d'exploitation telles que le système de fichiers, les caractéristiques de sécurité et les cadres d'application.
La version 1.0 de Microsoft Application Inspector est disponible en version GENERAL AUDIENCE.
Source : Microsoft Application Inspector
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Suivi des linters JavaScript, outils d'analyse statique de code source, ESLint en 4.19.0 et standardJS en 11.0.0
Microsoft s'engage à utiliser plus d'énergies renouvelables dans ses datacenters en les alimentant en énergies vertes à hauteur de 50 % d'ici 2018
À tous ceux qui ont fui GitHub suite au rachat par Microsoft : GitLab est hébergé sur Microsoft Azure