For å hjelpe utviklere som er avhengige av eksterne programvarekomponenter, har Microsoft introdusert en kildekodeanalysator, Microsoft Application Inspector, for å hjelpe overflatefunksjoner og andre egenskaper ved kildekoden.
Det nedlastbare kommandolinjeverktøyet som kan lastes ned fra GitHub, er designet for skanning av komponenter før bruk for å hjelpe til med å bestemme hva programvaren er eller hva den gjør. Dataene den gir kan være nyttige for å redusere tiden det tar å bestemme hva programvarekomponenter gjør ved å undersøke kildekoden direkte i stedet for å stole på dokumentasjon.
Application Inspector er forskjellig fra tradisjonelle statiske analyseverktøy ved at den ikke prøver å identifisere “gode” eller “dårlige” mønstre, heter det i Microsofts dokumentasjon. Snarere rapporterer verktøyet hva det finner mot et sett med mer enn 400 regelmønstre for funksjonsdeteksjon, inkludert funksjoner som påvirker sikkerhet, for eksempel bruk av kryptografi.
Andre viktige funksjoner for Application Inspector inkluderer:
- En JSON-basert reglermotor som utfører statisk analyse.
- Evnen til å analysere millioner av kildekodelinjer fra komponenter bygget på mange språk.
- Evnen til å identifisere høyrisikokomponenter og de med uventede funksjoner.
- Evnen til å identifisere endringer i en komponents funksjonssett, versjon til versjon, som kan indikere alt fra en ondsinnet bakdør til økt angrepsflate.
- Evnen til å levere resultater i flere formater, inkludert JSON og HTML.
- Evnen til å oppdage funksjoner som dekker Microsoft Azure, Amazon Web Services og Google Cloud Platform-tjeneste-API-er og operativsystemfunksjoner som filsystem, sikkerhetsfunksjoner og applikasjonsrammer.
Microsoft sa at Application Inspector skiller seg fra andre statiske analyseverktøy, fordi det ikke er begrenset til å oppdage dårlig programmeringspraksis; den overflater kodeegenskaper som det ville være vanskelig eller tidkrevende å identifisere gjennom manuell inspeksjon.
