微软发布代码检测工具：Application Inspector

近期，微软发布了软件Microsoft Application Inspector，一款跨平台的开源命令行工具，可帮助开发人员快速探测第三方开源软件组件的安全问题。

这款静态源代码分析器旨在帮助开发人员处理在将开源组件（如软件库）合并到项目中时因代码重用而产生的潜在安全问题。

微软的客户安全和信任团队的成员Guy Acosta和Michael Scovetta表示：“代码重用有很大的好处，包括缩短推向市场的时间、提升软件质量和交互性，但有时也会增加其复杂性和安全风险。”

“也许你很信任你的开发团队，但他们编写的代码通常只占整个应用的一小部分。所有引入的外部组件的安全性到底如何？”

正如微软所指出的那样，现代Web应用通常有数百个第三方组件，涉及成千上万行代码，而这些代码又是由成千上万的贡献者编写的。此外使用这些组件的开发人员都依赖开发者的描述，微软认为这些描述很不可靠，不足以完全保证运行代码的安全。

微软表示，Application Inspector是一款独特的静态代码分析器，因为它并不直接标记“好”或“坏”，而是基于500多个规则突显出“有趣”的特性。其核心思想是，比手动检查更快地识别出应用的有趣之处。

该工具会针对影响安全性的软件组件的功能，例如应用所使用加密技术、连接到远程实体（如公共云）的组件及其运行的平台。

Application Inspector基于.NET开发，这意味着Windows、Linux或macOS上的开发人员均可以使用它。

根据微软在wiki中的解释：“Application Inspector的主要目标是以系统化且可扩展的方式识别出源代码特性，这在传统的静态代码分析器中是没有的。它可帮助开发人员和安全专家去验证目标组件的行为，例如，字符串填充库是否只做了它应做的事情。”

该工具可以分析由多种流行的编程语言所构造出的包含数百万行源码的组件。

在检查完后，Application Inspector还会生成一个基于浏览器的报告，其中会总结出已识别的主要应用特征，包括应用框架、云接口、加密方式、敏感数据（如访问密钥）、个人可识别信息、操作系统功能和安全功能等。

不过，微软同时也强调，Application Inspector并不会取代其他的安全代码审查或安全静态分析软件。这对于开发人员来说只是多个一个新帮手。

Acosta最近在加拿大的行业会议上展示了该应用。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/microsoft-application-inspector-is-now-open-source-so-use-it-to-test-code-security/