ApplicationInspector:一款功能强大的软件源代码分析与审计工具

最新推荐文章于 2024-08-07 09:04:30 发布
最新推荐文章于 2024-08-07 09:04:30 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46302190/article/details/104445438
版权
ApplicationInspector是一款强大的源代码分析工具,通过400多种规则检测应用程序,包括C、C++、Java等多语言,降低误报并支持自定义规则。它不判断模式好坏,而是报告检测到的模式,尤其适用于开源项目分析。工具提供了多种命令行功能,如扫描、自定义规则、对比分析等。
摘要由CSDN通过智能技术生成

ApplicationInspector是一款功能强大的软件源代码分析与审计工具,它可以帮助研究人员识别和发现目标应用程序中的公众周知的功能以及源代码中有意思的特性,并清楚目标应用的本质特征以及实现的功能。

ApplicationInspector跟传统静态分析工具不同的是,它不会尝试去识别目标应用模式的好与坏,它只会报告它所检测到的应用程序模式,而且它会使用超过400种规则来完成检测,其中包含可能会影响应用程序安全性的一些模式,例如所使用的加密算法等等。ApplicationInspector会直接检查目标应用程序的源代码,而不是选择信任已有文档或安全建议,这对于分析开源项目或其他组件来说,能够提升准确率。

ApplicationInspector支持扫描各种编程语言,其中包括C、C++、C、Java、JavaScript、HTML、Python、Objective-C、GO、Ruby以及PowerShell 等等 ,并且还支持扫描混合语言的文件。除此之外,ApplicationInspector还支持HTML、JSON和text等输出格式,默认输出报告格式为HTML。

值得一提的是,ApplicationInspector提供了一个可过滤的指示器,以此来提供最小化的误报率,并帮助研究人员自定义默认规则以及条件匹配逻辑。

ApplicationInspector的功能如下图所示:
在这里插入图片描述工具下载

广大研究人员可以使用下列命令将项目源 码克隆至本地:

git clone https://github.com/microsoft/ApplicationInspector.git

项目构建

项目的源码构建需要安装.NET Core 3.0,并使用标准的dotnet构建命令直接在项目根目录运行。

框架依赖:

dotnet build -c Release

目标平台构建:

dotnet publish -c Release -r win-x86
dotnet publish -c Release -r linux-x64
dotnet publish -c Release -r osx-x64

工具使用
如需使用ApplicationInspector,可以直接下载对应的ApplicationInspector版本。如果你是用的是.NET Core版本,你还需要安装.NET Core v3.0或更高版本。

ApplicationInspector是一款基于命令行的工具,因此我们可以直接在Windows、Linux或macOS平台上通过命令行终端来运行该工具:

> dotnet AppInspector.dll or on *Windows* simply AppInspector.exe <command> <options>

Microsoft Application Inspector 1.0.25
ApplicationInspector 1.0.25

(c) Microsoft Corporation. All rights reserve
最低0.47元/天 解锁文章
ApplicationInspector源代码分析器,用于显示感兴趣的功能和其他特征,以回答“代码中包含什么?”的问题。 通过基于json的规则引擎快速使用静态分析。 非常适合在使用前扫描组件或检测功能级别变化
02-26
介绍 Microsoft Application Inspector是一种软件源代码表征工具,可帮助基于众所周知的库/ API调用识别第一方或第三方软件组件的编码功能,并且在安全和非安全用例中很有帮助。 它使用数百种规则和正则表达式模式来展现源代码的有趣特征,以帮助确定软件是什么或从软件使用的文件操作,加密,shell操作,云API,框架等中确定了什么功能,并且受到了业界的关注。作为 , , , / , ,Twitter等上的OSS的一项新的宝贵贡献,并首次在上。 Application Inspector传统的静态分析工具的不同之处在于,它不会尝试识别“好”或“坏”的模式。 它仅报告针对400多种用于特征检测的规则模式所发现的结果,其中包括影响安全性的特征(例如密码术的使用等)。 通过直接检查源代码或信任有限的文档或建议,这对于减少确定开放源代码或其他组件的工作时间非常有
源代码阅读分析工具
04-13
可直接连接github等代码托管网站的版本库,可在代码上建立批注,分享批注
Microsoft Application Inspector cmd使用
StuartsFish的博客
09-10 307
Microsoft Application Inspector cmd使用 先在官网上下载二进制包 github release 找到刚才下载的包(解压)中的ApplicationInspector.CLI.dll 复制路径 打开cmd(使用Application Inspector 输入 dotnet 路径\ApplicationInspector.CLI.dll 如果出现 说明就可以使用Application Inspector了 使用的功能参数详见官网 Application Inspector官网
微软开源软件特征源码分析工具 Application Inspector
寒冰屋的专栏
01-19 656
微软近日开源了其内部使用的软件特征源码分析工具Application Inspector。 现代软件开发实践通常需要基于数百个现有组件中构建应用,无论它们是由组织中的另一个团队、外部供应商还是开源社区中的某个人编写的。这样虽然会带来许多好处,比如加快开发进度、软件质量互操作性等,但同时也会带来隐藏的复杂性和风险。 应对这种情况,微软介绍其内部使用的工具Application Ins...
微软Application Inspector源代码特性检测工具
gitblog_00436的博客
08-07 744
微软Application Inspector源代码特性检测工具 ApplicationInspectorA source code analyzer built for surfacing features of interest and other characteristics to answer the question 'What's in the code?' quickly us...
探索微软的开源神器:Application Inspector
gitblog_00062的博客
04-25 466
探索微软的开源神器:Application Inspector ApplicationInspectorA source code analyzer built for surfacing features of interest and other characteristics to answer the question 'What's in the code?' quickly usin...
ApplicationInspector相关命令
thj_blog
06-16 566
工具使用 如需使用ApplicationInspector,可以直接下载对应的ApplicationInspector版本。如果你是用的是.NET Core版本,你还需要安装.NET Core v3.0或更高版本。 ApplicationInspector一款基于命令行的工具,因此我们可以直接在Windows、Linux或macOS平台上通过命令行终端来运行该工具: > dotnet AppInspector.dll or on *Windows* simply AppInspector.exe
代码分析工具
weixin_30402085的博客
04-23 522
内存泄漏检测valgrind --leak-check=full -v --track-origins=yes 应用程序 数据流追踪和调试: strace 接口分析工具:postman 代码文档 :doxygen 转载于:https://www.cnblogs.com/jiashengyang/p/10314607.html...
代码分析工具 understand 5 Linux 64
11-13
下载地址 https://scitools.com/download/all-builds/ 大家可以自己取下载
java代码审查工具_APP开发常用的一些工具包、软件工具
weixin_39610724的博客
11-19 157
在APP开发过程中,如果一味的手打每一段原生代码,那么工作量将会非常大,使用适当的软件开发工具,能帮助你在开发软件时节约很多时间,提高工作效率,接下来就来看看在APP开发项目中常用的一些软件工具:1.Eclipse现在,虽然有IntelliJ IDEA、NetBeans以及其他的一些IDE,但是,在实际的开发领域,Eclipse依旧是众多Java开发人员的选择。作为安卓开发领域的领军工具,拥有海量...
AnalysisApp, 一个快速分析某个app使用哪些sdk的小工具.zip
09-17
AnalysisApp, 一个快速分析某个app使用哪些sdk的小工具
dohq-ai-best-practices:PT Application Inspector的实施和操作。 更多细节
04-27
DevSecOps:将PT应用程序检查器实施到产品管道和运营中 注意力! 这是DevOps工程师的非官方文档。 在这里,您将找到推荐的服务器和客户端部件架构,以及用于PT Application Inspector自动化工作的脚本以及各种CI系统集成的模板。 请使用本文档中的任何资料,保留指向项目的链接: : 资料会定期更新,这将避免使用过时的版本。 您可以直接在产品页面上请求PT Application Inspector的官方文档以及试用​​版: : 您可以从第或的了解PT Application Inspector的实现,以及组装流水线中AI的工作以及发现的漏洞如何阻止的发布。 该说明如下,方法和建议AI服务器[] v.3.6.1]相关(./。Media / ptaiee_adminguide_ru.pdf) 内容 使用AISA的工作算法 用于发送项目以扫描到AI的
Chrome辅助工具-Inspector -Sources和Application
南淮北安的博客
01-20 571
1. Sources:查看网页源代码 可以查看哪些数据文件,被下载下来了。 具体查看某一内容所对应的源代码可以通过Elements–&amp;gt;Event Listeners下列表对应的文件即为源代码 2. Application 所有存储的数据都会在这里面 但是对于爬虫而言仅需要关注里面的cookies即可 ...
PT Application Inspector 现支持集成开发环境
ptsecurity的博客
09-12 5302
为了极大地促进实施安全开发流程(DevSecOps)的所有用户群体(包括开发人员、信息安全专家和DevOps 工程师)的工作,Positive Technologies 发布了新版产品 PT Application Inspector 4.5,极大地扩展了其功能。配置文件和 API 的版本化简化了 PT Application Inspector 的集成,降低了实施成本,并消除了因更新产品外部系统之间的交互格式而导致长时间停机的风险。自定义规则有助于扩展知识库,查找新的、用户相关的漏洞类型。
PT Application Inspector 4.7 现在包括 Windows 和 Linux 上的所有语言
ptsecurity的博客
04-09 2458
"PT Application Inspector 基于内部开发的通用、高效的 JSA 模块,我们正在不断开发该模块。从架构上讲,JSA 是这样构建的:所有语言都有一个共同的组件来实现分析算法,同时还有单独的模块来支持具有自身特性的特定语言。这使我们能够更快地添加对新语言和新技术的支持,同时保持高水平的分析质量。对于同时使用 Windows 和 Linux 扫描代理的公司来说,这是一个非常有用的更新:扫描队列中的任务会根据支持请求的语言分析的代理的操作系统自动分配。还支持另一种流行的编程语言 Ruby。
C++软件开发值得推荐的十大高效软件分析工具
热门推荐
dvlinker的技术专栏
10-31 2万+
本文系统地介绍了Dependency Walker、GDIView、Process Explorer/Process Hacker、Process Monitor、API Monitor、Clumsy、Windbg、IDA Pro等常用软件问题分析工具,并给出使用这些工具分析项目问题的实战分析实例。
静态代码分析工具清单:开源篇(多语言)
liwg06
02-21 1万+
本文是一个静态代码分析工具的清单。共有8个工具,其中7个是开源工具,1个有免费使用的版本,都可以用于多种语言。
代码解析工具汇总
qq_44370676的博客
03-09 1万+
代码解析工具汇总
音乐_全栈开发_程序猿依力_实战文档库_1742857530.zip
最新发布
03-31
音乐_全栈开发_程序猿依力_实战文档库_1742857530.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值