Application Inspector: Microsoft legt Werkzeug zur Code-Analyse offen

Microsoft hat seinen Application Inspector als Open Source auf Github veröffentlicht, wie das Unternehmen in seinem Security-Blog schreibt. Das Werkzeug habe Microsoft selbst entwickelt, um die typischen Probleme moderner Software-Entwicklung anzugehen. Dies gelte insbesondere für das inhärent notwendige Vertrauen in Open-Source-Abhängigkeiten, die in vielen eigenen Projekten genutzt werden.

Das Werkzeug zur Quellcode-Analyse diene dabei dazu, "interessante Funktionen und Metadaten" der Software zu erkennen, schreibt Microsoft in seiner Ankündigung. Das Unternehmen zählt dazu die Verwendung von kryptographischen Routinen oder die Verbindung zu Servern von Dritten auf.

Von typischen statischen Code-Analysen-Werkzeugen soll sich der Application Inspector dadurch unterscheiden, dass dieser eben nicht nur "schlechte Programmierpraktiken" erkenne. Stattdessen sollen auch wichtige Charakteristiken im Code erkannt werden, die durch manuelle Inspektion nur schwierig oder sehr zeitaufwendig durchgeführt werden könnten. Die Funde werden Nutzern dann "ohne Wertung" dargestellt, wie es in der Ankündigung heißt. Microsoft illustriert das an einem sehr kurzen Beispiel in Python, das Inhalte von einer URL herunterlädt und diese in das Dateisystem schreibt. Bei Hunderten Komponenten und mehreren Zehntausend Zeilen Code sei das aber eben nicht trivial erkennbar. Hier soll der Application Inspector helfen.

Microsoft selbst nutze den Application Inspector, um den Funktionsumfang einer externen Komponente zwischen Versionen zu verfolgen, oder um kritische Komponenten mit eventuell unerwarteten Funktionen aufzufinden, die einer stärkeren Überprüfung unterzogen werden sollen. Die Anwendung läuft in der Kommandozeile und liefert ihre Ergebnisse als JSON- oder HTML-Ausgabe.