Microsoft ønsker at hjælpe udviklere, der er afhængige af eksterne softwarekomponenter, og har introduceret en kildekodeanalysator, Microsoft Application Inspector, til at hjælpe overfladefunktioner og andre kendetegn ved kildekoden.
Det platformoverskridende kommandolinjeværktøj, der kan downloades fra GitHub, er designet til scanning af komponenter inden brug for at hjælpe med at bestemme, hvad softwaren er, eller hvad den gør. De data, den giver, kan være nyttige til at reducere den nødvendige tid til at bestemme, hvad softwarekomponenter gør ved at undersøge kildekoden direkte i stedet for at stole på dokumentation.
Application Inspector adskiller sig fra traditionelle statiske analyseværktøjer, da det ikke forsøger at identificere "gode" eller "dårlige" mønstre, siger Microsofts dokumentation. Snarere rapporterer værktøjet, hvad det finder mod et sæt på mere end 400 regelmønstre til funktionsdetektering, herunder funktioner, der påvirker sikkerheden, såsom brugen af kryptografi.
Andre vigtige funktioner i Application Inspector inkluderer:
- En JSON-baseret reglermotor, der udfører statisk analyse.
- Evnen til at analysere millioner af kildekodelinjer fra komponenter bygget på mange sprog.
- Evnen til at identificere højrisikokomponenter og komponenter med uventede funktioner.
- Evnen til at identificere ændringer i en komponents funktionssæt, version til version, som kan indikere alt fra en ondsindet bagdør til en øget angrebsflade.
- Evnen til at output resulterer i flere formater inklusive JSON og HTML.
- Evnen til at registrere funktioner, der dækker Microsoft Azure, Amazon Web Services og Google Cloud Platform-service-API'er og operativsystemfunktioner såsom filsystemet, sikkerhedsfunktioner og applikationsrammer.
Microsoft sagde, at Application Inspector adskiller sig fra andre statiske analyseværktøjer, da det ikke er begrænset til at opdage dårlig programmeringspraksis. det overflader kodeegenskaber, der ville være vanskelige eller tidskrævende at identificere ved manuel inspektion.
