Como um bom conhecimento dos diferentes componentes de um aplicativo é o primeiro passo para saber quais ações tomar antes de implantá-lo em seu próprio ambiente ou no de seu cliente, a Microsoft acaba de lançar um código-fonte aberto. Destina-se a desenvolvedores e profissionais de segurança de aplicativos online.
A ferramenta proposta pela Microsoft examina os milhões de linhas de código de uma aplicação em diversas linguagens de programação. O Microsoft Application Inspector ajuda a detectar possíveis ameaças à segurança no código de um aplicativo, como backdoors mal-intencionados ou até mesmo recursos que precisam de investigação adicional.
Economia significativa de tempo para desenvolvedores
O Microsoft Application Inspector não se limita a detectar práticas de programação incorretas. A ferramenta lançada pela Microsoft vai além das tradicionais ferramentas de análise de código existentes: permite identificar e analisar todas as características de uma aplicação examinando seu código-fonte.
Os aplicativos desenvolvidos hoje possuem múltiplos componentes e contam com softwares criados por outras empresas, que podem estar comprometidos e sujeitos a certos riscos. O Microsoft Application Inspector economiza um tempo considerável em comparação com uma operação manual, dada a multiplicidade de fontes existentes.
A Microsoft especifica que sua ferramenta não se destina a substituir os sistemas de segurança já existentes, mas pode vir além de facilitar a tarefa dos desenvolvedores, graças à sua capacidade de análise rápida e automatizada.
As funcionalidades analisadas pela ferramenta da Microsoft
O Inspetor de Aplicativos da Microsoft permite que você:
- Caracterizar as principais funcionalidades do código fonte
- Detectar mudanças repentinas de recursos entre versões de componentes
- Mapear recursos detectados para requisitos de segurança
- Teste de verdadeiro/falso para recursos específicos versus o conjunto completo
Abrange diferentes áreas, como aplicação de frameworks (desenvolvimento, teste), Cloud APIs/Service (Microsoft Azure, Amazon AWS e Google Cloud Platform), criptografia (simétrica, assimétrica, hash e TLS), tipos de dados (sensíveis e pessoais) informações identificáveis), funções do sistema operacional (identificação da plataforma, sistema de arquivos, registro e contas de usuário) ou funções de segurança (autenticação e autorização).
Um índice de confiança para cada recurso detectado
Uma vez gerado o relatório, cada ícone representará um recurso, que foi identificado pela ferramenta no código-fonte. Ao percorrer cada categoria (recursos gerais, desenvolvimento, conteúdo, armazenamento de dados, nuvem, etc.), um índice de confiança será associado a cada recurso. Será possível consultar o código fonte correspondente clicando no link exibido.
A ferramenta está disponível como código aberto e pode ser baixada do GitHub .
