Microsoft, 오픈 소스 소스 코드 분석기 출시

외부 소프트웨어 구성 요소에 의존하는 개발자를 지원하기 위해 Microsoft는 소스 코드의 기능 및 기타 특성을 표시하는 데 도움이되는 소스 코드 분석기 인 Microsoft Application Inspector를 도입했습니다. 

GitHub에서 다운로드 할 수있는 크로스 플랫폼 명령 줄 도구는 사용하기 전에 구성 요소를 스캔하여 소프트웨어가 무엇인지, 무엇을하는지 결정하는 데 도움이되도록 설계되었습니다. 제공하는 데이터는 문서에 의존하지 않고 소스 코드를 직접 검사하여 소프트웨어 구성 요소가 수행하는 작업을 결정하는 데 필요한 시간을 줄이는 데 유용 할 수 있습니다. 

Application Inspector는 "양호"또는 "불량"패턴을 식별하지 않는다는 점에서 기존의 정적 분석 도구와 다릅니다. 오히려이 도구는 암호화 사용과 같이 보안에 영향을 미치는 기능을 포함하여 기능 탐지를위한 400 개 이상의 규칙 패턴 집합에 대해 발견 한 내용을보고합니다. 

Application Inspector의 기타 주요 기능은 다음과 같습니다.

  • 정적 분석을 수행하는 JSON 기반 규칙 엔진입니다.
  • 여러 언어를 사용하여 빌드 된 구성 요소에서 수백만 줄의 소스 코드를 분석하는 기능.
  • 고위험 구성 요소 및 예상치 못한 기능이있는 구성 요소를 식별하는 기능.
  • 악의적 인 백도어에서 공격 표면 증가에 이르기까지 모든 것을 나타낼 수있는 구성 요소의 기능 세트, 버전 간 변경 사항을 식별하는 기능.
  • 결과를 JSON 및 HTML을 포함한 여러 형식으로 출력하는 기능.
  • Microsoft Azure, Amazon Web Services, Google Cloud Platform 서비스 API 및 파일 시스템, 보안 기능, 애플리케이션 프레임 워크와 같은 운영 체제 기능을 포함하는 기능을 감지하는 기능.

Microsoft는 Application Inspector가 잘못된 프로그래밍 관행을 감지하는 데 국한되지 않는다는 점에서 다른 정적 분석 도구와 다르다고 말했습니다. 수동 검사를 통해 식별하기 어렵거나 시간이 많이 걸리는 코드 특성을 표시합니다.