Siekdama padėti kūrėjams, pasikliaujantiems išoriniais programinės įrangos komponentais, „Microsoft“ pristatė šaltinio kodų analizatorių „Microsoft Application Inspector“, kad padėtų išryškinti pirminio kodo savybes ir kitas savybes.
Atsisiųsti iš „GitHub“, kelių platformų komandų eilutės įrankis yra skirtas komponentams nuskaityti prieš juos naudojant, kad būtų lengviau nustatyti, kokia yra programinė įranga ar ką ji veikia. Pateikti duomenys gali būti naudingi sutrumpinant laiką, reikalingą programinės įrangos komponentams nustatyti, tiesiogiai tikrinant šaltinio kodą, o ne pasikliaujant dokumentais.
„Application Inspector“ skiriasi nuo tradicinių statinės analizės įrankių tuo, kad nesistengia nustatyti „gerų“ ar „blogų“ modelių, teigiama „Microsoft“ dokumentuose. Atvirkščiai, įrankis praneša, ką randa, palyginti su daugiau nei 400 taisyklių šablonų, skirtų funkcijoms aptikti, įskaitant saugumui įtakos turinčias funkcijas, pvz., Kriptografijos naudojimą.
Kitos pagrindinės „Application Inspector“ galimybės yra:
- JSON pagrįstas taisyklių variklis, kuris atlieka statinę analizę.
- Galimybė analizuoti milijonus šaltinio kodo eilučių iš komponentų, sukurtų naudojant daug kalbų.
- Gebėjimas nustatyti didelės rizikos komponentus ir tuos, kurie turi netikėtų savybių.
- Galimybė nustatyti komponento funkcijų rinkinio, versijos į versiją pakeitimus, kurie gali reikšti bet ką - nuo kenksmingos užpakalinės iki padidėjusio atakos paviršiaus.
- Galimybė išvesties rezultatus galima gauti keliais formatais, įskaitant JSON ir HTML.
- Galimybė aptikti „Microsoft Azure“, „Amazon Web Services“ ir „Google Cloud Platform“ paslaugų API bei operacinės sistemos funkcijas, pvz., Failų sistemą, saugos funkcijas ir programų sistemas.
„Microsoft“ teigė, kad „Application Inspector“ skiriasi nuo kitų statinės analizės įrankių tuo, kad neapsiriboja vien blogos programavimo praktikos nustatymu; jame pateikiamos kodo charakteristikos, kurias būtų sunku ar daug laiko nustatyti rankiniu būdu.
