ApplicationInspector
v1.9.30
Microsoft Application Inspector ist ein Software-Quellcode-Charakterisierungstool, mit dem die Codierungsfunktionen von Softwarekomponenten für erste oder Drittanbieter auf der Grundlage bekannter Bibliotheks-/API-Anrufe identifiziert werden und bei Sicherheits- und Nicht-Sicherheit-Anwendungsfällen hilfreich sind. Es verwendet Hunderte von Regeln und Regex -Mustern, um interessante Merkmale des Quellcode zu ermitteln, um zu ermitteln, wie die Software ist oder was sie aus den Dateivorgängen, Verschlüsselung, Shell -Operationen, Cloud -APIs, Frameworks und mehr verwendet, und mehr Aufmerksamkeit in der Branche als neue und wertvolle Beitrag zu OSS -OSS -ZDNET, SORTWORTSWEIT, CSOONLINE, LINUX.CODEURD, AUFTNEWS, AUFTNEWS, AUFTNEWS, AUFTELN. Microsoft.com.
Der Anwendungsinspektor unterscheidet sich von herkömmlichen statischen Analyse -Tools, da es nicht versucht, "gute" oder "schlechte" Muster zu identifizieren. Es berichtet einfach, was es gegen eine Reihe von über 400 Regelmustern für die Merkmalserkennung findet, einschließlich Merkmalen, die sich auf die Sicherheit wie die Verwendung von Kryptographie und mehr auswirken. Dies kann äußerst hilfreich sein, um die benötigte Zeit zu verkürzen, um festzustellen, welche Open Source oder andere Komponenten die Quelle direkt untersuchen, anstatt begrenzte Dokumentation oder Empfehlungen zu vertrauen.
Das Tool unterstützt das Scannen verschiedener Programmiersprachen, einschließlich C, C ++, C#, Java, JavaScript, HTML, Python, Objective-C, Go, Ruby, PowerShell und mehr und können Projekte mit gemischten Sprachdateien scannen. Es unterstützt die Erzeugung von Ergebnissen in HTML-, JSON- und Textausgabemodellformaten, wobei der Standard -HTML -Bericht ähnlich dem hier gezeigten ist .
Weitere Informationen finden Sie auf unserer vollständigen Projekt -Wiki -Seite https://github.com/microsoft/ApplicationInspector/wiki, um weitere Informationen und Hilfe zu erhalten.
dotnet tool install --global Microsoft.CST.ApplicationInspector.CLISehen Sie mehr im Wiki
appinspector analyze -s path/to/src .applicationinspector.cli.exe analyze -s path/to/srcMicrosoft Application Inspector hilft Ihnen bei der Sicherung Ihrer Anwendungen von Start bis zur Bereitstellung.
Designoptionen - Ermöglicht es Ihnen, auszuwählen, welche Komponenten Ihre Anforderungen mit einem kleineren Fußabdruck unnötiger oder unbekannter Funktionen erfüllen, um Ihre Anwendungsangriffsoberfläche kleiner zu halten, sowie bei der Überprüfung der erwarteten Krypto der Branchenstandard.
Identifizierung von Merkmalsdeltas - Erkennt Änderungen zwischen Komponentenversionen, die für die Erkennung von Injektionen von Hintertouren von entscheidender Bedeutung sein können.
Automatisieren von Sicherheitskonformitätsprüfungen - Verwenden Sie Komponenten mit Funktionen, die zusätzliche Sicherheitsprüfung, Genehmigung oder SDL -Konformität im Rahmen Ihrer Build -Pipeline erfordern, oder erstellen Sie ein Repository von Metadaten bezüglich Ihrer gesamten Unternehmensanwendung.
Wir haben eine starke Ausfallstartsbasis von Regeln für die Erkennung von Merkmalen. Es gibt jedoch viele Merkmals -Identifikationsmuster, die noch definiert werden müssen, und wir laden Sie ein, Ideen darüber einzureichen , was Sie sehen oder einen Knaller bei der Definition einfügen möchten. Dies ist eine Chance, das Open -Source -Ökosystem buchstäblich zu beeinflussen, das ein Tool bereitstellt, das jeder verwenden kann. Weitere Informationen finden Sie im Abschnitt "Regeln des Wiki".
Der Bewerbungsinspektor ist im allgemeinen Status der Publikumsfreigabe. Ihr Feedback ist uns wichtig. Wenn Sie an einem Beitrag interessiert sind, überprüfen Sie bitte den Beitrag.md.
Der Anwendungsinspektor ist als Befehlszeilen -Tool oder Nuget -Paket verfügbar und wird unter Windows, Linux oder MacOS unterstützt.
Plattformspezifische Binärdateien des ApplicationInspector CLI sind auf unserer Seite mit GitHub Releases verfügbar.
Die C# -Bibliothek ist in Nuget als microsoft.cst.applicationInspector.commands verfügbar.
Das .NET Global Tool ist auf Nuget als microsoft.cst.applicationInspector.cli verfügbar.
Wenn Sie die .NET -Core -Version verwenden, müssen Sie .NET 6.0 oder höher installiert. Weitere Informationen finden Sie in den Dateien von Justunit.md oder Build.md.
> appinspector --help
ApplicationInspector.CLI 1.8.4-beta+976ee3cdd1
c Microsoft Corporation. All rights reserved.
analyze Inspect source directory/file/compressed file (.tgz|zip)
against defined characteristics
tagdiff Compares unique tag values between two source paths
exporttags Export the list of tags associated with the specified rules.
Does not scan source code.
verifyrules Verify custom rules syntax is valid
packrules Combine multiple rule files into one file for ease in
distribution
help Display more information on a specific command.
version Display version information.
Um Hilfe für einen bestimmten Befehl zu erhalten, führen Sie appinspector <command> --help aus.
Der Befehl Analyse ist das Arbeitstier des Anwendungsinspektors.
Dies erzeugt eine Ausgabe.html der Analyse im aktuellen Verzeichnis unter Verwendung von Standardargumenten und -regeln.
appinspector analyze -s path/to/files
appinspector analyze -s path/to/files -f sarif -o output.sarif
Dadurch wird eine JSON -Ausgabe namens Data.json der Analyse im aktuellen Verzeichnis erstellt, ohne alle Dateien in den test und .git -Ordnern mit den bereitgestellten Glob -Mustern.
appinspector analyze -s path/to/files -o data.json -f json -g **/tests/**,**/.git/**
Für zusätzliche Hilfe bei der Verwendung der Konsolenschnittstelle finden Sie die CLI -Verwendung.
Für die Hilfe des Nuget -Pakets siehe Nuget -Support
Siehe Build.md
