Microsoft libera una herramienta open source que permite analizar todo el código fuente de una aplicación en busca de amenazas
Microsoft ha publicado en GitHub una herramienta de análisis de código creada para ayudarnos a entender lo que hace un software y también lo que es. Su nombre es Microsoft Application Inspector y es capaz de examinar millones de líneas de código en muchos lenguajes de programación diferentes.
Aunque puede ser claramente utilizada para detectar potenciales amenazas de seguridad en el código de una aplicación, Microsoft quiere hacer énfasis en que también es útil en en varios contextos que no están relacionados con la seguridad.
La empresa explica que su herramienta ayuda a los clientes a lidiar con los riesgos inherentes de confiar en software de código abierto, ya que no solo es capaz de detectar código «malo», sino que puede identificar características «interesantes» y metadatos que serían demasiado difíciles de identificar de forma manual en poco tiempo.
Porque la mayoría del software usa múltiples componentes de terceros
Así como Microsoft utiliza mucho software open source en sus productos y servicios, muchas otras empresas también aprovechan diferentes proyectos abiertos que resultan beneficiosos.
Sin embargo, esto no viene libre de riesgos, ya que las aplicaciones modernas suelen tener múltiples componentes y acumular miles o decenas de miles de líneas de código de las cuales probablemente solo una fracción fueron escritas por los ingenieros de la misma empresa, y que se hacen básicamente imposibles de analizar de forma manual.
Con Microsoft Application Inspector se puede analizar todo ese código de distintos componentes de forma automática. La empresa explica que ellos la utilizan para identificar cambios importantes en las características de diferentes componentes a través del tiempo, es decir, con cada versión.
Ese tipo de análisis puede indicar desde puertas traseras maliciosas hasta características inesperadas que requieran más escrutinio:
Application Inspector difiere de las herramientas de análisis estático más típicas en que no se limita a detectar prácticas de programación deficientes, sino que saca a la luz características interesantes en el código que de otro modo requerirían mucho tiempo o serían difíciles de identificar mediante la introspección manual. Luego simplemente informa de lo que hay, sin juzgar.
Application Inspector es open source, está construido sobre .NET Core, y puede ser descargado desde GitHub, donde también puedes encontrar una Wiki con toda la información al respecto.
Fuente: genbeta.com