#3 Onda media, seguro. La FM es una modernez.

am....

Si se la pasas a Windows explota

grep -ri "am" .

No puedes hacer eso porque no dispones del código fuente de Windows. Esa es la trampa

#15 igual ya es suyo

#11 Al contrario, ha convertido su tecnologia .NET nativa para linux o macox, ya no roba tantos con los windows (licencias OEM casi regaladas)...

#2 han utilizado el código de su propio sistema operativo para hacer pruebas de estrés.

¿esto es como una especie de SonarQube enfocado a la seguridad?

#10 Como puede ser mala una herramienta que evita prevenirnos, aunque más no sea, de un número determinado de vulnerabilidades? De verdad te parece que es mejor no buscar nada antes que buscar algunas?

#0 Te he modificado un poco el titular para que quepa la palabra amenazas.

CC #3 #5 (he pensado lo mismo )

#9 Donde estén la onda larga y la onda corta... LW - SW

#14 Yo también lo he probado con código de la aplicación de mi empresa y saca bastantes cositas interesantes. Genéricas, pero te ayuda a apuntar donde hay un potencial problema de seguridad que luego puedes revisar mas o menos fácilmente.

A mi jefe le ha gustado y dado que tienes opción de exportarlo a JSON, no descartamos integrarlo en las pipelines de CI para hacer diffs entre las distintas iteraciones para ver en que commit podemos meter algo que huele mal.

Esto es... un antivirus para el código fuente.
Un scanner de backdoors gubernamentales/institucionales/corporativas no saldrá, pero esto sí, quizá porque primero hay que perseguir a los que liberan código. Los todopoderosos ya tal.

Seguro que funciona muy bien porque será la que usan ellos para verificar su software, por eso el software de Microsoft nunca tiene problemas de seguridad.

#39 Yo soy devops y trabajo en una startup con todo en AWS.
Nuestras pipelines podrían ser la envidia de muchas multinacionales, tanto en integración, como testing, analisis de seguridad, análisis de calidad de código, movimiento de tickets automaticos en jira, notificaciones en slack, reports, scaneres de dependencias, construcción de artefactos, empaquetado en contentedores de docker, subidos a dockerub, firmado con clave de contenedores y subida de artefactos a S3 para archivado.

Todo eso automágico en cada pull request, merge y release (se hacen solas cuando estan programadas para ello).

Cualquiera diria que ahora saca la pasta de servicios en la nube

#3 puedes ampliarlo?

#17 si

Windows? En Serio?jajajajaja y Google seguro que lanza otra en breve jajajaja

#19 Es mucho más lucrativo, google les ha enseñado el camino a todos

Que guay, un analizador de amenazas en estático, debe haber como cincuenta mil ya ....

Yo prefiero la FM

#8 ¿Ahora es peor?

Pues ya lo podían haber usado para localizar el fallito de nada de la CryptoAPI y las librerías relacionadas (CVE-2020-0601) que permitía firmar como programas legales virus y malwares varios.

Por cierto si queréis comprobar si sois vulnerables, mejor dicho si no habéis instalado el parche correspondiente:

curveballtest.com/

Salu2

#14 Ahora Microsoft también conoce tu programa.

#5 No he visto el titular con la palabra "amenazas" cortada a "am", y creía que eso de "am" era algún comando o alguna instrucción de asm que hacía algo mágico de hackers. Me estaba volviendo loco buscando "am" en google.

#14 Y para profanos en programación pero preocupados por la seguridad, ¿tiene alguna utilidad esta herramienta?

verificar integridad

#29 ¿Entonces es como Fortify?

No me lo creo. No son tan buenos.

#27 son normas conocidas por experiencia de miles de programadores, y se utilizan para revisar el código y asegurar que las sigues. Evita muchos agujeros de seguridad que se cometen al peogramar (mal)

Otra herramienta más que se suma a las que ya existen, como findbugs, herramientas owasp, el propio repositorio de reglas de sonarqube, etc... Lo suyo es integrarlo como plug-in de sonarqube

Microsoft ha cambiado mucho desde la época del XP