Microsoft ha publicado en GitHub una herramienta de análisis de código creada para ayudarnos a entender lo que hace un software y también lo que es. Su nombre es Microsoft Application Inspector y es capaz de examinar millones de líneas de código en muchos lenguajes de programación diferentes. Aunque puede ser claramente utilizada para detectar potenciales amenazas de seguridad en el código de una aplicación, Microsoft quiere hacer énfasis en que también es útil en en varios contextos que no están relacionados con la seguridad.
|
etiquetas: microsoft , analisis , bug , open source , software libre , programación
Un scanner de backdoors gubernamentales/institucionales/corporativas no saldrá, pero esto sí, quizá porque primero hay que perseguir a los que liberan código. Los todopoderosos ya tal.
AppInspector.exe analyze -s "RUTA A UNA CARPETA CON CODIGO FUENTE"
CC #3 #5 (he pensado lo mismo )
De todas formas, la mayoría de usuarios al usar ejecutables y no descargarse el código fuente no le van a dar mucho uso. Ademas de que necesitas nociones de programacion para saber que es lo que te dice el programa.
Ten en cuenta que simplemente te simplifica el proceso para que de un vistazo general sepas que hace el programa sin tener que ir fichero a fichero viendo que es lo que, lo cual puede llevar varias horas/dias. Aún así, un programador espabilado podría esconder un código malicioso ofuscado y pasaría desapercibido por este programa...
Por cierto si queréis comprobar si sois vulnerables, mejor dicho si no habéis instalado el parche correspondiente:
curveballtest.com/
Salu2
A mi jefe le ha gustado y dado que tienes opción de exportarlo a JSON, no descartamos integrarlo en las pipelines de CI para hacer diffs entre las distintas iteraciones para ver en que commit podemos meter algo que huele mal.
Nuestras pipelines podrían ser la envidia de muchas multinacionales, tanto en integración, como testing, analisis de seguridad, análisis de calidad de código, movimiento de tickets automaticos en jira, notificaciones en slack, reports, scaneres de dependencias, construcción de artefactos, empaquetado en contentedores de docker, subidos a dockerub, firmado con clave de contenedores y subida de artefactos a S3 para archivado.
Todo eso automágico en cada pull request, merge y release (se hacen solas cuando estan programadas para ello).