Vēloties palīdzēt izstrādātājiem, kuri paļaujas uz ārējiem programmatūras komponentiem, Microsoft ir ieviesis pirmkodu analizatoru Microsoft Application Inspector, lai palīdzētu atklāt pirmkoda funkcijas un citas īpašības.
Starpplatformu komandrindas rīks, kas lejupielādējams no GitHub, ir paredzēts komponentu skenēšanai pirms lietošanas, lai palīdzētu noteikt, kas ir programmatūra vai ko tā dara. Tās sniegtie dati var būt noderīgi, lai samazinātu laiku, kas vajadzīgs programmatūras komponentu noteikšanai, tieši pārbaudot pirmkodu, nevis paļaujoties uz dokumentāciju.
Lietojumprogrammu inspektors atšķiras no tradicionālajiem statiskās analīzes rīkiem, jo tas nemēģina identificēt “labus” vai “sliktus” modeļus, teikts Microsoft dokumentācijā. Drīzāk rīks ziņo par konstatēto, salīdzinot ar vairāk nekā 400 noteikumu modeļu kopumu funkciju noteikšanai, ieskaitot funkcijas, kas ietekmē drošību, piemēram, kriptogrāfijas izmantošanu.
Citas lietojumprogrammu inspektora galvenās iespējas ietver:
- JSON balstīts noteikumu dzinējs, kas veic statisko analīzi.
- Spēja analizēt miljoniem avota kodu rindu no komponentiem, kas izveidoti, izmantojot daudzas valodas.
- Spēja identificēt augsta riska komponentus un komponentus ar negaidītām īpašībām.
- Spēja identificēt izmaiņas komponentu funkciju komplektā, versijā versijā, kas var norādīt uz visu, sākot no ļaunprātīgas aizmugures durvis līdz paaugstinātai uzbrukuma virsmai.
- Spēja izvadīt rezultātus dažādos formātos, ieskaitot JSON un HTML.
- Spēja noteikt funkcijas, kas aptver Microsoft Azure, Amazon Web Services un Google Cloud Platform pakalpojumu API un operētājsistēmas funkcijas, piemēram, failu sistēmu, drošības līdzekļus un lietojumprogrammu ietvarus.
Microsoft teica, ka lietojumprogrammu inspektors atšķiras no citiem statiskās analīzes rīkiem ar to, ka tas neaprobežojas tikai ar sliktas programmēšanas prakses atklāšanu; tajā tiek parādīti koda parametri, kurus manuāli pārbaudot būtu grūti vai laikietilpīgi noteikt.
