米Microsoftは、ソースコード解析ツール「Microsoft Application Inspector」を、1月16日(現地時間)にオープンソースで公開した。
「Microsoft Application Inspector」は、ソースコードにおける暗号化やリモートのエンティティへの接続、実行されるプラットフォームといった挙動を見つけられるツールで、複雑なプログラミング手法の検出や、人間では見つけにくいプログラムの挙動を特定できる。
大規模なプログラムの解析も可能で、複数の異なるプログラミング言語によって構成された、数百万行にも及ぶソースコードの解析にも対応している。
「Microsoft Application Inspector」を使用すれば、コンポーネントのバージョン間での機能変更も識別できるため、バックドアの検出に役立つ。さらに、リスクの高いコンポーネントや、追加の精査が必要なコンポーネントの特定にも使える。
検査結果は、JSONやインタラクティブHTMLを含む複数の形式でレポートを生成可能で、ソースコードから特定された機能が一覧表示され、より具体的なカテゴリや信頼度なども表示できる。
そのほか、一般的なプログラミング言語を網羅する、以下のような機能に対応した検出パターンが多数付属している。
- アプリケーションフレームワーク(開発、テスト)
- クラウド/サービスAPI(Microsoft Azure、Amazon AWS、およびGoogle Cloud Platform)
- 暗号化(対称、非対称、ハッシュ、およびTLS)
- データタイプ(機密性の高い、個人を特定できる情報)
- オペレーティングシステムの機能(プラットフォームID、ファイルシステム、レジストリ、およびユーザーアカウント)
- セキュリティ機能(認証と承認)
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
