Abychom pomohli vývojářům, kteří se spoléhají na externí softwarové komponenty, společnost Microsoft zavedla analyzátor zdrojového kódu, Microsoft Application Inspector, který pomáhá povrchovým funkcím a dalším charakteristikám zdrojového kódu.
Nástroj příkazového řádku pro různé platformy, který lze stáhnout z GitHubu, je navržen pro skenování komponent před použitím, aby pomohl určit, co je software nebo co dělá. Data, která poskytuje, mohou být užitečná ke zkrácení času potřebného k určení toho, co softwarové komponenty dělají, přímým prozkoumáním zdrojového kódu, místo aby se spoléhaly na dokumentaci.
Application Inspector se liší od tradičních nástrojů statické analýzy v tom, že se nepokouší identifikovat „dobré“ nebo „špatné“ vzory, uvádí dokumentace společnosti Microsoft. Nástroj spíše hlásí, co zjistí, proti sadě více než 400 vzorců pravidel pro detekci funkcí, včetně funkcí ovlivňujících zabezpečení, jako je použití kryptografie.
Mezi další klíčové funkce Application Inspector patří:
- Stroj na pravidla JSON, který provádí statickou analýzu.
- Schopnost analyzovat miliony řádků zdrojového kódu z komponent vytvořených pomocí mnoha jazyků.
- Schopnost identifikovat vysoce rizikové komponenty a komponenty s neočekávanými funkcemi.
- Schopnost identifikovat změny v sadě funkcí komponenty, verze na verzi, které mohou naznačovat cokoli od škodlivého backdooru po zvýšenou plochu útoku.
- Možnost výstupu výsledků v různých formátech včetně JSON a HTML.
- Schopnost detekovat funkce pokrývající rozhraní API služby Microsoft Azure, Amazon Web Services a Google Cloud Platform a funkce operačního systému, jako je souborový systém, funkce zabezpečení a aplikační rámce.
Microsoft uvedl, že se Application Inspector liší od ostatních nástrojů statické analýzy tím, že se neomezuje pouze na detekci špatných programovacích postupů; zobrazuje vlastnosti kódu, které by bylo obtížné nebo časově náročné identifikovat pomocí ruční kontroly.
