Microsofts Application Inspector soll Code-Charakteristika erkennen

Über die typische statische Codeanalyse hinaus verspricht Microsofts Tool Einblick in spezielle sicherheitskritische Funktionen von Softwarekomponenten.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Microsofts Application Inspector soll interessante Code-Charakteristika erkennen
Lesezeit: 2 Min.
Von
  • Matthias Parbel

Um was für eine Softwarekomponente handelt es sich und was tut sie? Auf diese Fragen will Microsofts Application Inspector Entwicklern aussagekräftige Antworten liefern, wenn sie an einer aus verschiedenen Komponenten zusammengesetzten Anwendung arbeiten. Im Unterschied zu gängigen Werkzeugen für die statische Codeanalyse konzentriert sich das neue Open-Source-Tool nicht allein auf die Suche nach "guten" und "schlechten" Programmiermustern, sondern legt den Fokus auf spezifische Funktionen, die beispielsweise im Hinblick auf Schwachstellen relevant sein können.

Microsoft nutzt den Application Inspector bisher intern, um die wesentlichen Änderungen von Softwarekomponenten – insbesondere solcher aus dritter Hand – von Version zu Version nachzuvollziehen und etwaige Hintertüren oder vergrößerte Angriffsvektoren frühzeitig erkennen zu können. Kleinere Softwareschnipsel könnten Entwickler zwar auch manuell untersuchen, der Application Inspector erlaubt es hingegen, viele Komponenten und offenbar Hunderttausende Zeilen Code mit vertretbarem Zeitaufwand zu überprüfen. Dadurch lassen sich wohl auch kritische Funktionen in den Bereichen Kryptografie, Deserialisierung und Authentifizierung regelmäßig auf potenzielle Schwachstellen testen.

Der Application Inspector enthält zahlreiche Muster zur Erkennung von Merkmalen für eine Vielzahl von Programmiersprachen und lässt sich plattformübergreifend einsetzen. Das Tool deckt dabei im Wesentlichen die Funktionsbereiche Application Frameworks, Cloud- und Service-APIs, Kryptografie, Datentypen, Betriebssystem- sowie Security-Funktionen ab. Die Ergebnisse der Analysen stellt das Kommandozeilenwerkzeug in verschiedenen Formaten zur Verfügung – darunter JSON und dynamisches HTML.

Weitergehende Informationen zum Application Inspector finden sich in der Ankündigung von Microsoft sowie auf der Projektseite bei GitHub, wo das Tool auch für .NET Core 3, Windows, Linux und macOS zum Download parat liegt. (map)