Microsoft melepaskan penganalisis kod sumber terbuka

Untuk membantu pembangun yang bergantung pada komponen perisian luaran, Microsoft telah memperkenalkan penganalisis kod sumber, Microsoft Application Inspector, untuk membantu memaparkan ciri dan ciri-ciri lain dari kod sumber. 

Boleh dimuat turun dari GitHub, alat baris perintah lintas platform direka untuk mengimbas komponen sebelum digunakan untuk membantu menentukan perisian atau apa yang dilakukannya. Data yang diberikannya dapat berguna dalam mengurangi waktu yang diperlukan untuk menentukan komponen perangkat lunak apa yang dilakukan dengan memeriksa kod sumber secara langsung daripada bergantung pada dokumentasi. 

Inspektor Aplikasi berbeza dengan alat analisis statik tradisional kerana tidak berusaha mengenal pasti corak "baik" atau "buruk", menurut dokumentasi Microsoft. Sebaliknya, alat ini melaporkan apa yang ditemuinya terhadap satu set lebih daripada 400 pola peraturan untuk pengesanan ciri, termasuk ciri yang mempengaruhi keselamatan seperti penggunaan kriptografi. 

Keupayaan utama lain dari Inspektor Aplikasi termasuk:

  • Enjin peraturan berasaskan JSON yang melakukan analisis statik.
  • Keupayaan untuk menganalisis berjuta-juta baris kod sumber dari komponen yang dibina menggunakan banyak bahasa.
  • Keupayaan untuk mengenal pasti komponen berisiko tinggi dan yang mempunyai ciri yang tidak dijangka.
  • Keupayaan untuk mengenal pasti perubahan pada set fitur komponen, versi ke versi, yang dapat menunjukkan apa-apa dari pintu belakang berbahaya ke permukaan serangan yang meningkat.
  • Keupayaan untuk menghasilkan hasil dalam pelbagai format termasuk JSON dan HTML.
  • Keupayaan untuk mengesan ciri yang meliputi Microsoft Azure, Amazon Web Services, dan API perkhidmatan Google Cloud Platform dan fungsi sistem operasi seperti sistem fail, ciri keselamatan, dan kerangka aplikasi.

Microsoft mengatakan bahawa Inspektor Aplikasi berbeza dengan alat analisis statik lain kerana tidak terhad untuk mengesan amalan pengaturcaraan yang buruk; ia memaparkan ciri-ciri kod yang sukar atau memakan masa untuk dikenal pasti melalui pemeriksaan manual.