Si se la pasas a Windows explota

No puedes hacer eso porque no dispones del código fuente de Windows. Esa es la trampa

am....

#3 Onda media, seguro. La FM es una modernez.

grep -ri "am" .

Cualquiera diria que ahora saca la pasta de servicios en la nube

#3 puedes ampliarlo?

Microsoft ha cambiado mucho desde la época del XP

Yo prefiero la FM

Esto es... un antivirus para el código fuente.
Un scanner de backdoors gubernamentales/institucionales/corporativas no saldrá, pero esto sí, quizá porque primero hay que perseguir a los que liberan código. Los todopoderosos ya tal.

#8 ¿Ahora es peor?

#11 Al contrario, ha convertido su tecnologia .NET nativa para linux o macox, ya no roba tantos con los windows (licencias OEM casi regaladas)...

Windows? En Serio?jajajajaja y Google seguro que lanza otra en breve jajajaja

Yo lo acabo de probar con un programa mio y la informacion que te da esta bastante bien. Bastante generica pero te da una vision general bastante aproximada de como esta compuesto el programa, que tipo de datos puede guardar, etc...

AppInspector.exe analyze -s "RUTA A UNA CARPETA CON CODIGO FUENTE"  

#14 Ahora Microsoft también conoce tu programa.

#15 igual ya es suyo

¿esto es como una especie de SonarQube enfocado a la seguridad?

#0 Te he modificado un poco el titular para que quepa la palabra amenazas.

CC #3 #5 (he pensado lo mismo )

Seguro que funciona muy bien porque será la que usan ellos para verificar su software, por eso el software de Microsoft nunca tiene problemas de seguridad.

#10 Como puede ser mala una herramienta que evita prevenirnos, aunque más no sea, de un número determinado de vulnerabilidades? De verdad te parece que es mejor no buscar nada antes que buscar algunas?

#9 Donde estén la onda larga y la onda corta... LW - SW

#5 No he visto el titular con la palabra "amenazas" cortada a "am", y creía que eso de "am" era algún comando o alguna instrucción de asm que hacía algo mágico de hackers. Me estaba volviendo loco buscando "am" en google.

#2 han utilizado el código de su propio sistema operativo para hacer pruebas de estrés.

No me lo creo. No son tan buenos.

#14 Y para profanos en programación pero preocupados por la seguridad, ¿tiene alguna utilidad esta herramienta?

verificar integridad

#17 si

#27 son normas conocidas por experiencia de miles de programadores, y se utilizan para revisar el código y asegurar que las sigues. Evita muchos agujeros de seguridad que se cometen al peogramar (mal)

#27 Si tienes el código fuente te da una idea generica de que cosas "toquetea".
De todas formas, la mayoría de usuarios al usar ejecutables y no descargarse el código fuente no le van a dar mucho uso. Ademas de que necesitas nociones de programacion para saber que es lo que te dice el programa.

Ten en cuenta que simplemente te simplifica el proceso para que de un vistazo general sepas que hace el programa sin tener que ir fichero a fichero viendo que es lo que, lo cual puede llevar varias horas/dias. Aún así, un programador espabilado podría esconder un código malicioso ofuscado y pasaría desapercibido por este programa...

#15 #16 Mi codigo esta en github por lo que lo conocen de sobra Es mas, al tener bastantes estrellas (193) ya lo tienen metido hasta en el IntelliCode de visual studio...

#19 Es mucho más lucrativo, google les ha enseñado el camino a todos

Que guay, un analizador de amenazas en estático, debe haber como cincuenta mil ya ....

Otra herramienta más que se suma a las que ya existen, como findbugs, herramientas owasp, el propio repositorio de reglas de sonarqube, etc... Lo suyo es integrarlo como plug-in de sonarqube

#29 ¿Entonces es como Fortify?

Pues ya lo podían haber usado para localizar el fallito de nada de la CryptoAPI y las librerías relacionadas (CVE-2020-0601) que permitía firmar como programas legales virus y malwares varios.

Por cierto si queréis comprobar si sois vulnerables, mejor dicho si no habéis instalado el parche correspondiente:

curveballtest.com/

Salu2

#14 Yo también lo he probado con código de la aplicación de mi empresa y saca bastantes cositas interesantes. Genéricas, pero te ayuda a apuntar donde hay un potencial problema de seguridad que luego puedes revisar mas o menos fácilmente.

A mi jefe le ha gustado y dado que tienes opción de exportarlo a JSON, no descartamos integrarlo en las pipelines de CI para hacer diffs entre las distintas iteraciones para ver en que commit podemos meter algo que huele mal.

#38 Joer te felicito por haber acabado en una empresa donde usais pipelines y os tomais las cosas en serio

#39 Yo soy devops y trabajo en una startup con todo en AWS.
Nuestras pipelines podrían ser la envidia de muchas multinacionales, tanto en integración, como testing, analisis de seguridad, análisis de calidad de código, movimiento de tickets automaticos en jira, notificaciones en slack, reports, scaneres de dependencias, construcción de artefactos, empaquetado en contentedores de docker, subidos a dockerub, firmado con clave de contenedores y subida de artefactos a S3 para archivado.

Todo eso automágico en cada pull request, merge y release (se hacen solas cuando estan programadas para ello).