Microsoft želi razvijalcem, ki se zanašajo na zunanje komponente programske opreme, pomagati z analizatorjem izvorne kode Microsoft Application Inspector, da bi pomagal površinskim funkcijam in drugim značilnostim izvorne kode.
Orodje za ukazne vrstice, ki ga lahko naložite iz GitHub, je namenjeno skeniranju komponent pred uporabo, da pomaga določiti, kaj je programska oprema ali kaj počne. Podatki, ki jih zagotavlja, so lahko koristni pri zmanjševanju časa, potrebnega za določitev, kaj delajo programske komponente, tako da neposredno preučijo izvorno kodo, ne pa da se zanašajo na dokumentacijo.
Aplikacija Inspector se razlikuje od tradicionalnih orodij za statično analizo po tem, da ne poskuša prepoznati "dobrih" ali "slabih" vzorcev, piše v Microsoftovi dokumentaciji. Namesto tega orodje poroča o ugotovitvah glede nabora več kot 400 vzorcev pravil za zaznavanje lastnosti, vključno s funkcijami, ki vplivajo na varnost, kot je uporaba kriptografije.
Druge ključne zmožnosti Application Inspectorja vključujejo:
- Mehanizem pravil na osnovi JSON, ki izvaja statično analizo.
- Sposobnost analiziranja milijonov vrstic izvorne kode iz komponent, zgrajenih z uporabo številnih jezikov.
- Sposobnost prepoznavanja visoko tveganih komponent in komponent z nepričakovanimi lastnostmi.
- Sposobnost prepoznavanja sprememb nabora komponent, različice do različice, ki lahko kažejo vse od zlonamernega zakulisja do povečane površine napada.
- Možnost izpisa rezultatov v več oblikah, vključno z JSON in HTML.
- Sposobnost zaznavanja funkcij, ki zajemajo API-je storitve Microsoft Azure, Amazon Web Services in Google Cloud Platform ter funkcije operacijskega sistema, kot so datotečni sistem, varnostne funkcije in ogrodja aplikacij.
Microsoft je dejal, da se Application Inspector od drugih orodij za statično analizo razlikuje po tem, da ni omejen na odkrivanje slabih programov; prikaže lastnosti kode, ki bi jih bilo težko ali dolgotrajno prepoznati z ročnim pregledom.
