LukaSafonov Jan 21 2020 at 11:37

Анализатор исходного кода Microsoft Application Inspector

2 min

17K

Information Security*Reverse engineering*Web services testing*

+35

Comments 26

alan008 Jan 21 2020 at 11:40

Призывается Andrey2008 для тестирования инструмента для тестирования :-) (извините за рекурсию)

ICELedyanoj Jan 21 2020 at 12:13

Это пока не рекурсия, а каламбур. Рекурсией станет в тот момент, когда PVS Studio станет опенсорсом и эти два инструмента начнут тестировать друг друга.

Первая попытка впечатляет :)

ICELedyanoj Jan 21 2020 at 12:40

Начинания похвальные, но этим ребятам не помешало бы проанализировать собственный код.
Двойное приведение к float в этой строке явно избыточно:
int percentCompleted = (int)((float)totalFilesReviewed / (float)_appProfile.MetaData.TotalFiles * 100);
Ну и очепятки в ресурсах.

Наконец-то дождался вывода — он довольно подробный, попробую разобраться.

namikiri Jan 21 2020 at 13:47

«processededd» это скорее всего недоочистка терминала при укорачивании строки.

KvanTTT Jan 21 2020 at 13:57

Здесь и так и так приведение к float, просто во втором случае можно опустить из-за неявного приведения. Это стилистическая вещь, по аналогии с использованием var, ничего серьезного.

tea_cher Jan 21 2020 at 16:29

А если его самого собой?

ICELedyanoj Jan 21 2020 at 17:25

~~74 тега с предупреждениями :)~~
Нет, меньше. В анализ попал файл предыдущего анализа другого проекта.
43 предупреждения по проекту самого анализатора. Возможно, что часть предупреждения появляется из-за того, что сам код анализатора содержит наборы подозрительных кусков кода (правила), но могу ошибаться.

Igor_Shumilov Jan 21 2020 at 12:25

Это было бы интересно. Взаимный анализ исходников самих анализаторов + сравнительный анализ обоих инструментов на одном проекте.

n0mo Jan 21 2020 at 14:21

Проверил при помощи PVS-Studio. Ничего интересного не нашлось. Это объяснимо, так как проект очень маленький: 5 непустых КLOC в 44 файлах cs. В общем, пока что искать там нечего.

Tangeman Jan 21 2020 at 20:18

Тестирования чего? PVS Studio и этот анализатор созданы для разных целей и выполняют разные функции, причём последний не предназначен для нахождения потенциальных уязвимостей или ошибок в коде.

lastrix Jan 21 2020 at 14:15

В 2020 бы заниматься разработкой поиска уязвимостей по регулярным выражениям…
Еще в 2012 году такое было.

TimeCoder Jan 21 2020 at 14:41

Приложение для анализа исходного кода на каком языке? C#? Все .net языки? Все языки мира?

andToxa Jan 21 2020 at 16:29

Либо C# не завезли, либо я что-то не то делаю:

Analyze command running
100% source files processed
Preparing report
No pattern matches were detected for files in source path```
При этом NodeJS-проект проанализировало.

dodavydov Jan 21 2020 at 23:52

github.com/microsoft/ApplicationInspector/blob/master/RulesEngine/Resources/languages.json — Судя по всему это список поддерживаемых языков

virex Jan 22 2020 at 09:56

не вижу pascal и kotlin

LordDarklight Jan 22 2020 at 10:15

Ого — там не только .NET языки

dimkss Jan 21 2020 at 15:00

Основной целью Application Inspector является систематическая и масштабируемая идентификация функций исходного кода, которых нет в других типичных статических анализаторах.

Т.е. другие анализаторы это делают не систематически и не масштабируемо?

Tangeman Jan 21 2020 at 20:24

А другие анализаторы говорят вам какие функции выполняет код? Например, что в каком-то проекте используется доступ к базам данных, криптография, работа с файлами etc?

KvanTTT Jan 21 2020 at 15:23

Компания Positive Technologies уже давно разрабатывает продукт для выявления уязвимостей и ошибок в приложениях PT Application Inspector. Интересно, в Micorosft перед окончательным именованием искали продукты с аналогичными названиями?

impwx Jan 21 2020 at 17:51

… кросс-платформенный опенсорсный (!) инструмент...

Доброе утро, Майкрософт уже лет шесть-восемь как выпускает кросс-платформенные опенсорсные инструменты.

LordDarklight Jan 22 2020 at 10:18

Ну я бы так не сказал… всё-таки более менее регулярно кросс-платформенные опенсорсные инструменты мелкомягкие стали выпускать всего пару лет назад — ну как началась эпопея с .NET Core и вышла версия 2.0

impwx Jan 22 2020 at 10:35

.NET Foundation основан в 2014, а первая публичная версия Typescript выпущена аж в 2012…

LordDarklight Jan 22 2020 at 15:36

Соглсен, но всё-таки в 2012 это было лишь начало пути.
.NET Foundation стараниями Микрософта так и не стал кросс-платформенным
Поэтому именно со времён анонсирования проекта .NET Core Микрософт стал активно развивать и опенс сорс и кросс (не только в рамках .NET Core, просто видимо в это время топ менеджеры окончательно утвердили данный курс вообще в разных областях)

impwx Jan 22 2020 at 17:18

Вы перепутали .NET Foundation (благотворительный фонд развития открытого ПО) и .NET Framework (среда исполнения программ).

UFO just landed and posted this here

oxdef Jan 22 2020 at 15:15

This report represents the analysis results for the specified source code. It contains features identified from a large variety of common characteristics including security and privacy characteristics, and other attributes to answer the question 'What is in the code?'.

Интересные идея и тула. Может помочь при ревью кода нового проекта. Это не замена SAST-решению, а скорее инструмент аудитору для быстрого понимания из чего (каких функциональных блоков) состоит проект.