O Microsoft Application Inspector verifica o código-fonte e detecta ameaças
O Microsoft Application Inspector verifica o código-fonte e detecta ameaças

O Microsoft Application Inspector verifica o código-fonte e detecta ameaças

Como um bom conhecimento dos diferentes componentes de um aplicativo é o primeiro passo para saber quais ações tomar antes de implantá-lo em seu próprio ambiente ou no de seu cliente, a Microsoft acaba de lançar um código-fonte aberto. Destina-se a desenvolvedores e profissionais de segurança de aplicativos online.

A ferramenta proposta pela Microsoft examina os milhões de linhas de código de uma aplicação em diversas linguagens de programação. O Microsoft Application Inspector ajuda a detectar possíveis ameaças à segurança no código de um aplicativo, como backdoors mal-intencionados ou até mesmo recursos que precisam de investigação adicional.

Economia significativa de tempo para desenvolvedores

O Microsoft Application Inspector não se limita a detectar práticas de programação incorretas. A ferramenta lançada pela Microsoft vai além das tradicionais ferramentas de análise de código existentes: permite identificar e analisar todas as características de uma aplicação examinando seu código-fonte.

Os aplicativos desenvolvidos hoje possuem múltiplos componentes e contam com softwares criados por outras empresas, que podem estar comprometidos e sujeitos a certos riscos. O Microsoft Application Inspector economiza um tempo considerável em comparação com uma operação manual, dada a multiplicidade de fontes existentes.

A Microsoft especifica que sua ferramenta não se destina a substituir os sistemas de segurança já existentes, mas pode vir além de facilitar a tarefa dos desenvolvedores, graças à sua capacidade de análise rápida e automatizada.

As funcionalidades analisadas pela ferramenta da Microsoft

O Inspetor de Aplicativos da Microsoft permite que você:

  • Caracterizar as principais funcionalidades do código fonte
  • Detectar mudanças repentinas de recursos entre versões de componentes
  • Mapear recursos detectados para requisitos de segurança
  • Teste de verdadeiro/falso para recursos específicos versus o conjunto completo

Abrange diferentes áreas, como aplicação de frameworks (desenvolvimento, teste), Cloud APIs/Service (Microsoft Azure, Amazon AWS e Google Cloud Platform), criptografia (simétrica, assimétrica, hash e TLS), tipos de dados (sensíveis e pessoais) informações identificáveis), funções do sistema operacional (identificação da plataforma, sistema de arquivos, registro e contas de usuário) ou funções de segurança (autenticação e autorização).

Um índice de confiança para cada recurso detectado

Uma vez gerado o relatório, cada ícone representará um recurso, que foi identificado pela ferramenta no código-fonte. Ao percorrer cada categoria (recursos gerais, desenvolvimento, conteúdo, armazenamento de dados, nuvem, etc.), um índice de confiança será associado a cada recurso. Será possível consultar o código fonte correspondente clicando no link exibido.

Um índice de confiança para cada recurso detectado
Um índice de confiança para cada recurso detectado

A ferramenta está disponível como código aberto e pode ser baixada do GitHub .