Microsoft merilis penganalisis kode sumber terbuka

Untuk membantu pengembang yang mengandalkan komponen perangkat lunak eksternal, Microsoft telah memperkenalkan penganalisis kode sumber, Microsoft Application Inspector, untuk membantu menampilkan fitur dan karakteristik kode sumber lainnya. 

Dapat diunduh dari GitHub, alat baris perintah lintas platform dirancang untuk memindai komponen sebelum digunakan untuk membantu dalam menentukan apa perangkat lunak itu atau apa fungsinya. Data yang disediakannya dapat berguna dalam mengurangi waktu yang dibutuhkan untuk menentukan apa yang dilakukan komponen perangkat lunak dengan memeriksa kode sumber secara langsung daripada mengandalkan dokumentasi. 

Application Inspector berbeda dari alat analisis statis tradisional karena tidak berusaha mengidentifikasi pola "baik" atau "buruk", dokumentasi Microsoft menyatakan. Alih-alih, alat tersebut melaporkan apa yang ditemukannya terhadap lebih dari 400 pola aturan untuk deteksi fitur, termasuk fitur yang memengaruhi keamanan seperti penggunaan kriptografi. 

Kemampuan utama lainnya dari Application Inspector meliputi:

  • Mesin aturan berbasis JSON yang melakukan analisis statis.
  • Kemampuan untuk menganalisis jutaan baris kode sumber dari komponen yang dibuat menggunakan banyak bahasa.
  • Kemampuan untuk mengidentifikasi komponen berisiko tinggi dan komponen dengan fitur yang tidak terduga.
  • Kemampuan untuk mengidentifikasi perubahan pada kumpulan fitur komponen, versi ke versi, yang dapat menunjukkan apa pun dari pintu belakang berbahaya hingga permukaan serangan yang meningkat.
  • Kemampuan untuk mengeluarkan hasil dalam berbagai format termasuk JSON dan HTML.
  • Kemampuan untuk mendeteksi fitur yang mencakup Microsoft Azure, Amazon Web Services, dan API layanan Google Cloud Platform dan fungsi sistem operasi seperti sistem file, fitur keamanan, dan kerangka aplikasi.

Microsoft mengatakan bahwa Application Inspector berbeda dari alat analisis statis lainnya yang tidak terbatas pada mendeteksi praktik pemrograman yang buruk; ia memunculkan karakteristik kode yang akan sulit atau memakan waktu untuk diidentifikasi melalui inspeksi manual.