访问官网
Github
论文简介
Microsoft Application Inspector是一款软件源代码特征分析工具,旨在识别第一方或第三方软件组件的编码特征,基于众所周知的库/API调用,适用于安全和非安全用例。它使用数百条规则和正则表达式模式来揭示源代码的有趣特征,帮助确定软件是什么或它做什么,包括它使用的文件操作、加密、shell操作、云API、框架等。该工具在ZDNet、SecurityWeek、CSOOnline、Linux.com/news、HelpNetSecurity、Twitter等平台上受到业界关注,被认为是对开源软件的新颖且有价值的贡献,并首次在Microsoft.com上亮相。
Application Inspector与传统的静态分析工具不同,它不试图识别"好"或"坏"的模式;它只是根据400多条规则模式报告发现的特征,包括影响安全的特征,如加密的使用等。这在减少确定开源或其他组件功能所需的时间方面极为有用,通过直接检查源代码而不是依赖有限的文档或建议。
该工具支持扫描各种编程语言,包括C、C++、C#、Java、JavaScript、HTML、Python、Objective-C、Go、Ruby、PowerShell等更多语言,并可以扫描混合语言文件的项目。它支持生成HTML、JSON和文本格式的结果,默认输出为HTML报告,类似于此处所示。
请务必查看我们完整的项目wiki页面 https://Github.com/Microsoft/ApplicationInspector/wiki 以获取更多信息和帮助。
快速入门
获取Application Inspector
.NET工具(推荐)
- 下载并安装.NET 6 SDK
- 运行
dotnet tool install --global Microsoft.CST.ApplicationInspector.CLI
更多信息请参见wiki
平台依赖二进制文件
- 通过选择发布页的Assets部分下所示的适用于所选操作系统的预构建包来下载Application Inspector。
运行Application Inspector
- Nuget工具:
appinspector analyze -s path/to/src - 特定平台:
applicationinspector.cli.exe analyze -s path/to/src
目标
Microsoft Application Inspector帮助您从开始到部署阶段确保应用程序的安全。
设计选择 - 使您能够选择哪些组件满足您的需求,减少不必要或未知特性的占用,从而保持应用程序攻击面较小,同时帮助验证预期特性,如仅使用行业标准加密。
识别特性差异 - 检测组件版本之间的变化,这对于检测后门注入至关重要。 自动化安全合规检查 - 用于识别具有需要额外安全审查、批准或SDL合规的特性的组件,作为构建流程的一部分,或创建包含所有企业应用程序元数据的存储库。
贡献
我们有一个强大的默认特性检测规则起始基础。但仍有许多特性识别模式有待定义,我们邀请您提交您想看到的想法或尝试定义一些。这是一个切实影响开源生态系统的机会,提供一个每个人都可以使用的工具。更多信息请参阅wiki的规则部分。
正式发布
Application Inspector 现处于普通用户发布状态。您的反馈对我们很重要。如果您有兴趣贡献,请查看CONTRIBUTING.md。
Application Inspector 可作为命令行工具或NuGet包使用,支持Windows、Linux或MacOS。
ApplicationInspector CLI的特定平台二进制文件可在我们的GitHub发布页面上获取。
C#库在NuGet上以Microsoft.CST.ApplicationInspector.Commands的形式提供。
.NET全局工具在NuGet上以Microsoft.CST.ApplicationInspector.CLI的形式提供。
如果您使用.NET Core版本,您需要安装.NET 6.0或更高版本。更多信息请参阅JustRunIt.md或Build.md文件。
CLI使用信息
> appinspector --help
ApplicationInspector.CLI 1.8.4-beta+976ee3cdd1
c Microsoft Corporation. 保留所有权利。
analyze 检查源目录/文件/压缩文件(.tgz|zip)是否符合定义的特征
tagdiff 比较两个源路径之间的唯一标签值
exporttags 导出与指定规则相关的标签列表。不扫描源代码。
verifyrules 验证自定义规则语法是否有效
packrules 将多个规则文件合并为一个文件以便于分发
help 显示特定命令的更多信息。
version 显示版本信息。
示例:
命令帮助
要获取特定命令的帮助,请运行appinspector <command> --help。
Analyze命令
Analyze命令是Application Inspector的主力。
简单默认分析
这将在当前目录中使用默认参数和规则生成分析的output.html。
appinspector analyze -s path/to/files
输出Sarif
appinspector analyze -s path/to/files -f sarif -o output.sarif
使用通配符排除文件
这将在当前目录中创建名为data.json的分析json输出,使用提供的通配符模式排除test和.git文件夹中的所有文件。
appinspector analyze -s path/to/files -o data.json -f json -g **/tests/**,**/.git/**
其他使用信息
有关控制台界面使用的其他帮助,请参阅CLI使用。
有关使用NuGet包的帮助,请参阅NuGet支持
构建说明
请参阅build.md
