23 ene. 2020

Herramienta Open Source para analizar el código fuente de una aplicación en busca de amenazas

Microsoft ha publicado en GitHub una herramienta de análisis de código creada para ayudarnos a entender lo que hace un software y también lo que es. Su nombre es Microsoft Application Inspector y es capaz de examinar millones de líneas de código en muchos lenguajes de programación diferentes. Esta herramienta fue presentada por primera vez en SecTor 2019.

Aunque puede ser claramente utilizada para detectar potenciales amenazas de seguridad en el código de una aplicación, Microsoft quiere hacer énfasis en que también es útil en en varios contextos que no están relacionados con la seguridad.

La empresa explica que su herramienta ayuda a los clientes a lidiar con los riesgos inherentes de confiar en software de código abierto, ya que no solo es capaz de detectar código "malo", sino que puede identificar características "interesantes" y metadatos que serían demasiado difíciles de identificar de forma manual en poco tiempo.
Así como Microsoft utiliza mucho software open source en sus productos y servicios, muchas otras empresas también aprovechan diferentes proyectos abiertos que resultan beneficiosos.

Sin embargo, esto no viene libre de riesgos, ya que las aplicaciones modernas suelen tener múltiples componentes y acumular miles o decenas de miles de líneas de código de las cuales probablemente solo una fracción fueron escritas por los ingenieros de la misma empresa, y que se hacen básicamente imposibles de analizar de forma manual.

Con Microsoft Application Inspector se puede analizar todo ese código de distintos componentes de forma automática. La empresa explica que ellos la utilizan para identificar cambios importantes en las características de diferentes componentes a través del tiempo, es decir, con cada versión.

Ese tipo de análisis puede indicar desde puertas traseras maliciosas hasta características inesperadas que requieran más escrutinio:

Application Inspector difiere de las herramientas de análisis estático más típicas en que no se limita a detectar prácticas de programación deficientes, sino que saca a la luz características interesantes en el código que de otro modo requerirían mucho tiempo o serían difíciles de identificar mediante la introspección manual. Luego simplemente informa de lo que hay, "sin juzgar".

La aplicación es una herramienta cliente basada en .NET Core, por lo que se ejecutará en Windows, Linux o macOS y no requiere privilegios elevados y no hay una base de datos local o comunicaciones de red o telemetría. Para ejecutarlo, simplemente se debe usar la línea de comando estándar de dotnet para invocarla.

Application Inspector es Open Source, está construido sobre .NET Core, y puede ser descargado desde GitHub, donde también puedes encontrar una Wiki con toda la información al respecto.

Fuente: Genbeta

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!