Ulkopuolisiin ohjelmistokomponentteihin luottavien kehittäjien auttamiseksi Microsoft on ottanut käyttöön lähdekoodianalysaattorin, Microsoft Application Inspectorin, auttamaan lähdekoodin ominaisuuksia ja muita ominaisuuksia.
GitHubista ladattava monitasoinen komentorivityökalu on suunniteltu skannaamaan komponentit ennen käyttöä auttamaan määrittämään, mikä ohjelmisto on tai mitä se tekee. Sen tarjoamista tiedoista voi olla hyötyä ohjelmistokomponenttien määrittämiseen tarvittavan ajan lyhentämisessä tutkimalla lähdekoodia suoraan asiakirjojen sijaan.
Application Inspector eroaa perinteisistä staattisista analyysityökaluista, koska se ei yritä tunnistaa "hyviä" tai "huonoja" malleja, Microsoftin dokumentaatiossa todetaan. Pikemminkin työkalu raportoi löydöstään yli 400 sääntömallin joukosta ominaisuuksien havaitsemiseen, mukaan lukien turvallisuuteen vaikuttavat ominaisuudet, kuten salauksen käyttö.
Muita Application Inspectorin keskeisiä ominaisuuksia ovat:
- JSON-pohjainen sääntömoottori, joka suorittaa staattisen analyysin.
- Kyky analysoida miljoonia lähdekoodiriviä komponenteilla, jotka on rakennettu monilla kielillä.
- Kyky tunnistaa riskialttiit komponentit ja odottamattomat ominaisuudet.
- Kyky tunnistaa muutokset komponentin ominaisuuksiin, versiosta versioon, mikä voi osoittaa mitä tahansa haitallisesta takaovesta lisääntyneeseen hyökkäyspintaan.
- Kyky tuottaa tuloksia useissa muodoissa, mukaan lukien JSON ja HTML.
- Kyky havaita Microsoft Azure-, Amazon Web Services- ja Google Cloud Platform -palvelun sovellusliittymiä ja käyttöjärjestelmän toimintoja, kuten tiedostojärjestelmä, suojausominaisuudet ja sovelluskehykset, kattavia ominaisuuksia.
Microsoftin mukaan sovellustarkastaja eroaa muista staattisen analyysin työkaluista siinä, että se ei rajoitu huonoiden ohjelmointikäytäntöjen havaitsemiseen; se näyttää koodin ominaisuudet, jotka olisi vaikea tai aikaa vievää tunnistaa manuaalisen tarkastuksen avulla.
