Επιδιώκοντας να βοηθήσει προγραμματιστές που βασίζονται σε εξωτερικά στοιχεία λογισμικού, η Microsoft εισήγαγε έναν αναλυτή πηγαίου κώδικα, το Microsoft Application Inspector, για να βοηθήσει τα χαρακτηριστικά επιφανείας και άλλα χαρακτηριστικά του πηγαίου κώδικα.
Με δυνατότητα λήψης από το GitHub, το εργαλείο γραμμής εντολών πολλαπλών πλατφορμών έχει σχεδιαστεί για σάρωση στοιχείων πριν από τη χρήση για να βοηθήσει στον προσδιορισμό του λογισμικού ή τι κάνει. Τα δεδομένα που παρέχει μπορεί να είναι χρήσιμα για τη μείωση του χρόνου που απαιτείται για τον προσδιορισμό των στοιχείων του λογισμικού, εξετάζοντας τον πηγαίο κώδικα απευθείας αντί να βασίζονται σε έγγραφα.
Το Application Inspector διαφέρει από τα παραδοσιακά εργαλεία στατικής ανάλυσης, καθώς δεν επιχειρεί να εντοπίσει "καλά" ή "κακά" μοτίβα, αναφέρει η τεκμηρίωση της Microsoft. Αντίθετα, το εργαλείο αναφέρει τι βρίσκει σε ένα σύνολο περισσότερων από 400 μοτίβων κανόνων για την ανίχνευση δυνατοτήτων, συμπεριλαμβανομένων λειτουργιών που επηρεάζουν την ασφάλεια, όπως η χρήση κρυπτογραφίας.
Άλλες βασικές δυνατότητες του Application Inspector περιλαμβάνουν:
- Μια μηχανή κανόνων που βασίζεται σε JSON που εκτελεί στατική ανάλυση.
- Η ικανότητα ανάλυσης εκατομμυρίων γραμμών πηγαίου κώδικα από στοιχεία που έχουν δημιουργηθεί χρησιμοποιώντας πολλές γλώσσες.
- Η ικανότητα αναγνώρισης στοιχείων υψηλού κινδύνου και εκείνων με απρόσμενα χαρακτηριστικά.
- Η δυνατότητα εντοπισμού αλλαγών στο σύνολο λειτουργιών ενός στοιχείου, έκδοση σε έκδοση, η οποία μπορεί να υποδηλώνει οτιδήποτε, από κακόβουλο backdoor έως αυξημένη επιφάνεια επίθεσης.
- Η δυνατότητα εξόδου οδηγεί σε πολλές μορφές, συμπεριλαμβανομένων των JSON και HTML.
- Η δυνατότητα ανίχνευσης λειτουργιών που καλύπτουν τα Microsoft Azure, Amazon Web Services και API υπηρεσίας Cloud Google και λειτουργίες λειτουργικού συστήματος, όπως το σύστημα αρχείων, τα χαρακτηριστικά ασφαλείας και τα πλαίσια εφαρμογών.
Η Microsoft είπε ότι το Application Inspector διαφέρει από άλλα εργαλεία στατικής ανάλυσης, καθώς δεν περιορίζεται στην ανίχνευση κακών πρακτικών προγραμματισμού. εμφανίζει χαρακτηριστικά κώδικα που θα ήταν δύσκολο ή χρονοβόρο να εντοπιστούν μέσω χειροκίνητης επιθεώρησης.
