微软发布开源源代码分析器
邓仲卿
为了帮助依赖外部软件组件的开发人员,Microsoft引入了源代码分析器Microsoft Application Inspector ,以帮助表面特征和源代码的其他特征。
跨平台命令行工具可从GitHub下载,该工具旨在在使用组件之前对其进行扫描,以帮助确定该软件是什么或做什么。 它提供的数据可以通过直接检查源代码而不是依靠文档来减少确定软件组件做什么所需的时间。
[ 也在InfoWorld上:微软开发人员工具和技术将在2020年进行探索 ]
微软的文档指出,Application Inspector与传统的静态分析工具的不同之处在于,它不会尝试识别“好”或“坏”模式。 而是,该工具针对400多种规则模式报告发现的内容,这些规则模式用于特征检测,包括影响安全性(例如使用密码学)的特征。
Application Inspector的其他关键功能包括:
- 一个基于JSON的规则引擎,执行静态分析。
- 从使用多种语言构建的组件中分析数百万行源代码的能力。
- 识别高风险组件和具有意外功能的组件的能力。
- 识别组件功能集(版本与版本之间)更改的能力,该功能可以指示从恶意后门到增加的攻击面的任何内容。
- 能够以多种格式输出结果,包括JSON和HTML。
- 能够检测涵盖Microsoft Azure,Amazon Web Services和Google Cloud Platform服务API的功能以及操作系统功能(如文件系统,安全功能和应用程序框架)的功能。
[ 通过InfoWorld的App Dev Report新闻通讯了解软件开发中的热门话题 ]
微软表示,应用程序检查器与其他静态分析工具的不同之处在于,它不仅限于检测不良的编程习惯; 它显示了难以通过手动检查来识别的代码特征或费时的特征。
From: https://www.infoworld.com/article/3516147/microsoft-releases-open-source-source-code-analyzer.html
类似资料: