為了幫助依賴外部軟件組件的開發人員，微軟推出了一個源代碼分析器，Microsoft Application Inspector，以幫助顯示源代碼的功能和其他特性。

這個跨平臺命令行工具可以從GitHub下載，用于在使用組件之前掃描組件，以幫助確定軟件是什么或它做什么。它提供的數據可以通過直接檢查源代碼而不是依賴文檔來減少確定軟件組件做什么所需的時間。

Application Inspector不同于傳統的靜態分析工具，它不試圖識別“好”或“壞”模式——微軟的文檔狀態。相反，該工具根據一組400多個用于特征檢測的規則模式（包括影響安全性的功能，如密碼學的使用）報告其發現的內容。

Application Inspector的其他關鍵功能包括：

——執行靜態分析的基于JSON的規則引擎。

——從使用多種語言構建的組件中分析數百萬行源代碼的能力。

——識別高風險組件和具有預期之外功能組件的能力。

——識別組件功能集（從版本到版本）的更改的能力，它可以指出從惡意后門到增加的攻擊面的任何內容。

——能夠以多種格式輸出結果，包括JSON和HTML。

——能夠檢測涵蓋Microsoft Azure、AWS和Google Cloud Platform服務API的功能，以及文件系統、安全功能和應用程序框架等操作系統功能。

微軟表示，Application Inspector與其他靜態分析工具的不同之處在于，它不僅限于檢測糟糕的編程實踐，還可以顯示通過手動檢查難以識別或耗時的代碼特性。

原文鏈接：https://www.infoworld.com/article/3516147/microsoft-releases-open-source-source-code-analyzer.html