为了帮助依赖外部软件组件的开发人员,微软推出了一个源代码分析器,Microsoft Application Inspector,以帮助显示源代码的功能和其他特性。
这个跨平台命令行工具可以从GitHub下载,用于在使用组件之前扫描组件,以帮助确定软件是什么或它做什么。它提供的数据可以通过直接检查源代码而不是依赖文档来减少确定软件组件做什么所需的时间。
Application Inspector不同于传统的静态分析工具,它不试图识别“好”或“坏”模式——微软的文档状态。相反,该工具根据一组400多个用于特征检测的规则模式(包括影响安全性的功能,如密码学的使用)报告其发现的内容。
Application Inspector的其他关键功能包括:
——执行静态分析的基于JSON的规则引擎。
——从使用多种语言构建的组件中分析数百万行源代码的能力。
——识别高风险组件和具有预期之外功能组件的能力。
——识别组件功能集(从版本到版本)的更改的能力,它可以指出从恶意后门到增加的攻击面的任何内容。
——能够以多种格式输出结果,包括JSON和HTML。
——能够检测涵盖Microsoft Azure、AWS和Google Cloud Platform服务API的功能,以及文件系统、安全功能和应用程序框架等操作系统功能。
微软表示,Application Inspector与其他静态分析工具的不同之处在于,它不仅限于检测糟糕的编程实践,还可以显示通过手动检查难以识别或耗时的代码特性。
原文链接:https://www.infoworld.com/article/3516147/microsoft-releases-open-source-source-code-analyzer.html
