為了幫助依賴外部軟件組件的開發(fā)人員，微軟推出了一個源代碼分析器，Microsoft Application Inspector，以幫助顯示源代碼的功能和其他特性。

這個跨平臺命令行工具可以從GitHub下載，用于在使用組件之前掃描組件，以幫助確定軟件是什么或它做什么。它提供的數(shù)據(jù)可以通過直接檢查源代碼而不是依賴文檔來減少確定軟件組件做什么所需的時間。

Application Inspector不同于傳統(tǒng)的靜態(tài)分析工具，它不試圖識別“好”或“壞”模式——微軟的文檔狀態(tài)。相反，該工具根據(jù)一組400多個用于特征檢測的規(guī)則模式（包括影響安全性的功能，如密碼學(xué)的使用）報告其發(fā)現(xiàn)的內(nèi)容。

Application Inspector的其他關(guān)鍵功能包括：

——執(zhí)行靜態(tài)分析的基于JSON的規(guī)則引擎。

——從使用多種語言構(gòu)建的組件中分析數(shù)百萬行源代碼的能力。

——識別高風險組件和具有預(yù)期之外功能組件的能力。

——識別組件功能集（從版本到版本）的更改的能力，它可以指出從惡意后門到增加的攻擊面的任何內(nèi)容。

——能夠以多種格式輸出結(jié)果，包括JSON和HTML。

——能夠檢測涵蓋Microsoft Azure、AWS和Google Cloud Platform服務(wù)API的功能，以及文件系統(tǒng)、安全功能和應(yīng)用程序框架等操作系統(tǒng)功能。

微軟表示，Application Inspector與其他靜態(tài)分析工具的不同之處在于，它不僅限于檢測糟糕的編程實踐，還可以顯示通過手動檢查難以識別或耗時的代碼特性。

原文鏈接：https://www.infoworld.com/article/3516147/microsoft-releases-open-source-source-code-analyzer.html