为了帮助依赖外部软件组件的开发人员,微软推出了源代码分析器MicrosoftApplicationInspector,以帮助揭示源代码的功能和其他特性。这个跨平台命令行工具可从GitHub下载,用于在使用组件之前扫描组件,以帮助确定软件是什么或做什么。它提供的数据可以通过直接检查源代码而不是依赖文档来减少确定软件组件功能所需的时间。ApplicationInspector不同于传统的静态分析工具,因为它不会尝试识别“好”或“坏”模式——Microsoft的文档状态。相反,该工具根据一组400多个签名检测规则模式报告它发现的内容,包括影响安全的功能,例如密码学的使用。ApplicationInspector的其他主要功能包括:-执行静态分析的基于JSON的规则引擎。-能够分析使用多种语言构建的组件的数百万行源代码。——识别高风险组件和具有意外功能的组件的能力。-能够识别组件功能集的变化(从一个版本到另一个版本),这可以指向从恶意后门到增加的攻击面的任何事物。-能够以多种格式输出结果,包括JSON和HTML。-能够检测涵盖MicrosoftAzure、AWS和GoogleCloudPlatform服务API的功能,以及文件系统、安全功能和应用程序框架等操作系统功能。微软表示,ApplicationInspector与其他静态分析工具的不同之处在于,它不仅限于检测不良的编程实践,还可以揭示通过手动检查难以或耗时识别的代码特征。原文链接:https://www.infoworld.com/article/3516147/microsoft-releases-open-source-source-code-analyzer.html
