Portada
Hace 4 años | Por Find a genbeta.com
Publicado hace 4 años por Find a genbeta.com

Microsoft libera una herramienta open source que permite analizar el código fuente de aplicaciones en busca de amenazas

 genbeta.com

Microsoft ha publicado en GitHub una herramienta de análisis de código creada para ayudarnos a entender lo que hace un software y también lo que es. Su nombre es Microsoft Application Inspector y es capaz de examinar millones de líneas de código en muchos lenguajes de programación diferentes. Aunque puede ser claramente utilizada para detectar potenciales amenazas de seguridad en el código de una aplicación, Microsoft quiere hacer énfasis en que también es útil en en varios contextos que no están relacionados con la seguridad.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.3k 41

Comentarios

D

am....

V 8
K 67
ctrl_alt_del
editado

#3 Onda media, seguro. La FM es una modernez.

V 10
K 96
i

#3 puedes ampliarlo?

V 1
K 13
Aitor

#0 Te he modificado un poco el titular para que quepa la palabra amenazas.

CC #3 #5 (he pensado lo mismo lol)

V 1
K 22
Sinfonico

Si se la pasas a Windows explota

V 7
K 61
Black_Diamond

grep -ri "am" .

V 6
K 52
C

#5 No he visto el titular con la palabra "amenazas" cortada a "am", y creía que eso de "am" era algún comando o alguna instrucción de asm que hacía algo mágico de hackers. Me estaba volviendo loco buscando "am" en google.

V 0
K 9
Trolleando
editado

Yo lo acabo de probar con un programa mio y la informacion que te da esta bastante bien. Bastante generica pero te da una vision general bastante aproximada de como esta compuesto el programa, que tipo de datos puede guardar, etc...

AppInspector.exe analyze -s "RUTA A UNA CARPETA CON CODIGO FUENTE"

comment_28719890 media
V 6
K 48
inerte

#14 Ahora Microsoft también conoce tu programa.

V 0
K 9
p

#15 igual ya es suyo

V 4
K 43
Trolleando
editado

#15 #16 Mi codigo esta en github por lo que lo conocen de sobra Es mas, al tener bastantes estrellas (193) ya lo tienen metido hasta en el IntelliCode de visual studio...

V 1
K 17
Deniroandaluz

#14 Y para profanos en programación pero preocupados por la seguridad, ¿tiene alguna utilidad esta herramienta?

V 0
K 9
F

#27 son normas conocidas por experiencia de miles de programadores, y se utilizan para revisar el código y asegurar que las sigues. Evita muchos agujeros de seguridad que se cometen al peogramar (mal)

V 0
K 6
Trolleando
editado

#27 Si tienes el código fuente te da una idea generica de que cosas "toquetea".
De todas formas, la mayoría de usuarios al usar ejecutables y no descargarse el código fuente no le van a dar mucho uso. Ademas de que necesitas nociones de programacion para saber que es lo que te dice el programa.

Ten en cuenta que simplemente te simplifica el proceso para que de un vistazo general sepas que hace el programa sin tener que ir fichero a fichero viendo que es lo que, lo cual puede llevar varias horas/dias. Aún así, un programador espabilado podría esconder un código malicioso ofuscado y pasaría desapercibido por este programa...

V 0
K 10
g

#14 Yo también lo he probado con código de la aplicación de mi empresa y saca bastantes cositas interesantes. Genéricas, pero te ayuda a apuntar donde hay un potencial problema de seguridad que luego puedes revisar mas o menos fácilmente.

A mi jefe le ha gustado y dado que tienes opción de exportarlo a JSON, no descartamos integrarlo en las pipelines de CI para hacer diffs entre las distintas iteraciones para ver en que commit podemos meter algo que huele mal.

V 1
K 18
Trolleando

#38 Joer te felicito por haber acabado en una empresa donde usais pipelines y os tomais las cosas en serio

V 1
K 18
g

#39 Yo soy devops y trabajo en una startup con todo en AWS.
Nuestras pipelines podrían ser la envidia de muchas multinacionales, tanto en integración, como testing, analisis de seguridad, análisis de calidad de código, movimiento de tickets automaticos en jira, notificaciones en slack, reports, scaneres de dependencias, construcción de artefactos, empaquetado en contentedores de docker, subidos a dockerub, firmado con clave de contenedores y subida de artefactos a S3 para archivado.

Todo eso automágico en cada pull request, merge y release (se hacen solas cuando estan programadas para ello).

V 1
K 17
pkreuzt
editado

No puedes hacer eso porque no dispones del código fuente de Windows. Esa es la trampa

V 5
K 44
Shotokax

#2 han utilizado el código de su propio sistema operativo para hacer pruebas de estrés.

V 3
K 37
D

¿esto es como una especie de SonarQube enfocado a la seguridad?

V 2
K 28
F

#17 si

V 1
K 13
Johnbo

#29 ¿Entonces es como Fortify?

V 0
K 7
D

Compila en Linux con .NET Core 3.1, por cierto. Out of the box.

V 1
K 18
anv

Seguro que funciona muy bien porque será la que usan ellos para verificar su software, por eso el software de Microsoft nunca tiene problemas de seguridad. roll

V 1
K 17
HaCHa
editado

Esto es... un antivirus para el código fuente.
Un scanner de backdoors gubernamentales/institucionales/corporativas no saldrá, pero esto sí, quizá porque primero hay que perseguir a los que liberan código. Los todopoderosos ya tal.

V 1
K 17
M

#10 Como puede ser mala una herramienta que evita prevenirnos, aunque más no sea, de un número determinado de vulnerabilidades? De verdad te parece que es mejor no buscar nada antes que buscar algunas?

V 3
K 25
garfius1

Cualquiera diria que ahora saca la pasta de servicios en la nube

V 1
K 14
D

Que guay, un analizador de amenazas en estático, debe haber como cincuenta mil ya ....

V 0
K 12
Candidatas
25
meneos
tecnología China ya fabrica tantas baterías como demanda el mundo entero
39
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
8
meneos
tecnología Tiktoktives Cap.2
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
4
meneos
tecnología Mercedes no se complica la vida y abandona las pruebas de coches eléctricos con extensor de autonomía
26
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
5
meneos
tecnología La inteligencia artificial inundará las redes: Meta lanza su modelo en WhatsApp, Facebook e Instagram
cron

Windows? En Serio?jajajajaja y Google seguro que lanza otra en breve jajajaja

V 0
K 12
D

¿Una herramienta que busca en el código fuente amenazas para Microsoft?

V 0
K 11
El_Cucaracho

Yo prefiero la FM

V 0
K 11
Arariel
editado

#9 Donde estén la onda larga y la onda corta... LW - SW

V 1
K 20
Nova6K0
editado

Pues ya lo podían haber usado para localizar el fallito de nada de la CryptoAPI y las librerías relacionadas (CVE-2020-0601) que permitía firmar como programas legales virus y malwares varios.

Por cierto si queréis comprobar si sois vulnerables, mejor dicho si no habéis instalado el parche correspondiente:

https://curveballtest.com/

Salu2

V 0
K 10
p

verificar integridad

V 0
K 7
D
editado

Otra herramienta más que se suma a las que ya existen, como findbugs, herramientas owasp, el propio repositorio de reglas de sonarqube, etc... Lo suyo es integrarlo como plug-in de sonarqube

V 0
K 6
D

No me lo creo. No son tan buenos.

V 0
K 6
M

Microsoft ha cambiado mucho desde la época del XP

V 0
K 5
Trigonometrico

#8 ¿Ahora es peor?

V 0
K 10
M

#11 Al contrario, ha convertido su tecnologia .NET nativa para linux o macox, ya no roba tantos con los windows (licencias OEM casi regaladas)...

V 5
K 40
D

#12 Ahora solo roba datos

V 4
K 37
D

#19 Es mucho más lucrativo, google les ha enseñado el camino a todos

V 0
K 12