ApplicationInspector

Microsoft Application Inspector-это инструмент характеристики исходного кода программного обеспечения, который помогает идентифицировать функции кодирования первых или сторонних компонентов программного обеспечения на основе известных библиотечных/API-вызовов и помогает в случае безопасности и использования безопасности. Он использует сотни правил и шаблонов режима режима для выявления интересных характеристик исходного кода, чтобы помочь в определении того, что такое программное обеспечение или что оно делает из -за того, какие файловые операции он использует, шифрование, операции оболочки, облачные API, фреймворки и многое другое и привлек внимание отрасли как новое и ценное вклад в oss на zdnet, securityweek, csoonline, lines.com/news, helpsectipection raterectore, и в Twlectrectore, и Fore -Feelsection, и Firstemporte. Microsoft.com.

Инспектор приложений отличается от традиционных инструментов статического анализа тем, что он не пытается идентифицировать «хорошие» или «плохие» шаблоны; Он просто сообщает, что он находит, в отношении набора из более чем 400 шаблонов правил для обнаружения функций, включая функции, которые влияют на безопасность, такие как использование криптографии и многое другое. Это может быть чрезвычайно полезным для сокращения времени, необходимого для определения того, что делают открытый исходный код или другие компоненты, путем изучения источника напрямую, а не доверяя ограниченной документации или рекомендациям.

Инструмент поддерживает сканирование различных языков программирования, включая C, C ++, C#, Java, JavaScript, HTML, Python, Objective-C, GO, Ruby, PowerShell и многое другое и может сканировать проекты с помощью смешанных языковых файлов. Он поддерживает генерирование результатов в форматах HTML, JSON и текстовых выводов, а по умолчанию - отчет HTML, аналогичный указанному здесь.

Обязательно увидите нашу полную страницу проекта Wiki https://github.com/microsoft/applicationinspeptor/wiki для получения дополнительной информации и помощи.

• Загрузите и установите .NET 6 SDK
• Запустить dotnet tool install --global Microsoft.CST.ApplicationInspector.CLI

Увидеть больше в вики

• Загрузите инспектор приложений, выбрав предварительно построенный пакет для операционной системы, выбранной, показанной в разделе «Активы».

• NUGET TOOL: appinspector analyze -s path/to/src .
• Специфическая платформа: applicationinspector.cli.exe analyze -s path/to/src

Microsoft Application Inspector поможет вам в обеспечении ваших приложений от начала до развертывания.

Выбор дизайна - позволяет вам выбрать, какие компоненты удовлетворяют ваши потребности с меньшим количеством ненужных или неизвестных функций для поддержания поверхности вашей атаки приложения, а также помогать проверить ожидаемые IE Standard Standard Crypto.

Определение функций Deltas - обнаруживает изменения между версиями компонентов, которые могут иметь решающее значение для обнаружения инъекции BackDoors.

Автоматизация проверки соответствия безопасности - Используйте для идентификации компонентов с функциями, которые требуют дополнительного контроля за безопасностью, утверждения или соответствия SDL в рамках вашего конвейера сборки или создания хранилища метаданных в отношении всего вашего предприятия.

У нас есть сильная стартовая база по умолчанию правил для обнаружения функций. Но есть много моделей идентификации функций, которые еще предстоит определить, и мы приглашаем вас представить идеи о том, что вы хотите увидеть, или взломать в определении нескольких. Это шанс буквально повлиять на экосистему с открытым исходным кодом, помогающую предоставить инструмент, который каждый может использовать. См. Раздел «Правила вики» для получения дополнительной информации.

Инспектор приложений находится в статусе выпуска общего числа аудитории. Ваши отзывы важны для нас. Если вы заинтересованы в соревнованиях, просмотрите Anforming.md.

Инспектор приложений доступен в качестве инструмента командной строки или пакета Nuget и поддерживается в Windows, Linux или MacOS.

Специфические двоичные файлы платформы CLI ApplicationInspector доступны на нашей странице GitHub Relesesesses.

Библиотека C# доступна на Nuget как microsoft.cst.applicationInspector.commands.

Глобальный инструмент .net доступен на Nuget как microsoft.cst.applicationinspector.cli.

Если вы используете основную версию .NET, вам потребуется установка .NET 6.0 или позже. Смотрите файлы justrunit.md или build.md для большего.

 > appinspector --help
ApplicationInspector.CLI 1.8.4-beta+976ee3cdd1
c Microsoft Corporation. All rights reserved.

  analyze        Inspect source directory/file/compressed file (.tgz|zip)
                 against defined characteristics

  tagdiff        Compares unique tag values between two source paths

  exporttags     Export the list of tags associated with the specified rules.
                 Does not scan source code.

  verifyrules    Verify custom rules syntax is valid

  packrules      Combine multiple rule files into one file for ease in
                 distribution

  help           Display more information on a specific command.

  version        Display version information.

Чтобы получить помощь для конкретной команды запустить appinspector <command> --help .

Команда Analyze является рабочей лошадкой инспектора приложений.

Это даст вывод. HTML анализа в текущем каталоге с использованием аргументов и правил по умолчанию.

 appinspector analyze -s path/to/files

 appinspector analyze -s path/to/files -f sarif -o output.sarif

Это создаст вывод JSON с именем data.json анализа в текущем каталоге, исключая все файлы в test и .git в папках, используя предоставленные шаблоны шарика.

 appinspector analyze -s path/to/files -o data.json -f json -g **/tests/**,**/.git/**

Для получения дополнительной помощи при использовании интерфейса консоли см. Использование CLI.

Для получения помощи с использованием пакета Nuget см. Поддержка Nuget

Смотрите Build.md