微软已经发布 在GitHub上,归他们所有的平台, 代码分析工具 创建它是为了帮助您了解源代码的确切作用。 这可能会有一些有趣的安全应用程序,他们知道源代码是否可以具有一些不需要的功能,而这些功能如果不仔细查看要使用的程序或服务的源代码将很难知道。
连接器 Microsoft应用程序检查器调用了.NET Core上编写的工具后,您将能够在短时间内检查数百万行代码。 最终报告将向您显示所有您需要知道的信息,如果这些信息可能涉及安全风险或是否具有不需要的功能。 另外,它与多种编程语言兼容,因此可以提供强大的支持。
Microsoft Application Inspector的优势之一可以与 安全威胁检测 在开源应用程序和服务的源代码中。 但是从公司那里,他们已经确保其功能超越了这一范围。 例如,确定代码之间的重要更改,已实现的新功能等。
Microsoft还详细介绍了启动此工具的原因,那就是 帮助客户 来应对依靠开源软件,检测威胁,出色功能以及难以手动识别元数据的固有风险。 但是,他们忘记了有些东西比依靠开源软件具有更多的内在风险,而这种东西依赖于专有或封闭源代码的软件和服务(如许多Microsoft产品)。
尽管如此,对于许多使用开源的公司来说,Microsoft Application Inspector可能会很有趣,它使他们能够自动分析他们想要使用的所有内容的代码,以确定它是否可靠,以及确切地知道它的作用。 例如,一些 公司为开源项目做出贡献 他们随后将其用于服务,但该公司可能仅在某些部分提供了一些生产线或修饰。 但是他们仍然不知道其余代码的作用。 为此,我可以帮助...
Microsoft […]“依赖开放源代码软件的固有风险”。 这太愚蠢了,这些人怎么了,使封闭代码看起来不错的任何事情,以及他们从何处赚钱的计划