V snahe pomôcť vývojárom, ktorí sa spoliehajú na externé softvérové komponenty, spoločnosť Microsoft predstavila analyzátor zdrojového kódu, Microsoft Application Inspector, ktorý pomáha povrchovým funkciám a ďalším charakteristikám zdrojového kódu.
Nástroj príkazového riadku pre rôzne platformy, ktorý je možné stiahnuť z GitHubu, je navrhnutý na skenovanie komponentov pred použitím, aby pomohol určiť, čo je softvér alebo čo robí. Údaje, ktoré poskytuje, môžu byť užitočné pri znižovaní času potrebného na určenie toho, čo softvérové komponenty robia, priamym preskúmaním zdrojového kódu namiesto toho, aby sa spoliehali na dokumentáciu.
Inšpektor aplikácií sa líši od tradičných nástrojov na statickú analýzu tým, že sa nepokúša identifikovať „dobré“ alebo „zlé“ vzory, uvádza sa v dokumentácii spoločnosti Microsoft. Nástroj skôr informuje o tom, čo zistí, proti množine viac ako 400 vzorcov pravidiel pre detekciu funkcií vrátane funkcií ovplyvňujúcich bezpečnosť, ako je napríklad použitie kryptografie.
Medzi ďalšie kľúčové schopnosti Application Inspector patria:
- Stroj na pravidlá založené na JSON, ktorý vykonáva statickú analýzu.
- Schopnosť analyzovať milióny riadkov zdrojového kódu z komponentov vytvorených pomocou mnohých jazykov.
- Schopnosť identifikovať vysoko rizikové komponenty a komponenty s neočakávanými vlastnosťami.
- Schopnosť identifikovať zmeny v súbore funkcií komponentu, verzia od verzie, ktorá môže naznačovať čokoľvek, od škodlivého zadného vrátka po zväčšený povrch útoku.
- Schopnosť vydávať výsledky vo viacerých formátoch vrátane JSON a HTML.
- Schopnosť detekovať funkcie pokrývajúce rozhrania API služieb Microsoft Azure, Amazon Web Services a Google Cloud Platform a funkcie operačného systému, ako je súborový systém, funkcie zabezpečenia a aplikačné rámce.
Spoločnosť Microsoft uviedla, že Application Inspector sa líši od ostatných nástrojov statickej analýzy v tom, že sa neobmedzuje iba na zisťovanie nesprávnych programovacích postupov; zobrazuje vlastnosti kódu, ktoré by bolo ťažké alebo časovo náročné identifikovať pomocou manuálnej kontroly.
