【摘要】【概述】静态分析工具最大的用处就是在软件开发过程的早期阶段发现致命的缺陷。 在将代码实际推送到功能 QA 之前,我们应该尝试尽可能多地修复此类缺陷。 如果拖到最后,查找并修复此类问题将花费很大的成本。 接下来我们就来一一看一下目前业界正在使用的静态代码分析工具,然后再结合您的需求,看看有哪些能够对症下药,帮助您解决问题。 1.ApacheYetus 其官方网站是:
【概述】
静态分析工具的最大用途是在软件开发过程的早期阶段发现致命缺陷。
在将代码实际推送到功能 QA 之前,我们应该尝试尽可能多地修复此类缺陷。 如果拖到最后,查找并修复此类问题将花费很大的成本。
接下来我们就来一一看一下目前业界正在使用的静态代码分析工具,然后再结合您的需求,看看有哪些能够对症下药,帮助您解决问题。
1.ApacheYetus
其官方网站是:
构建和发布工具的集合。 包括用于执行完整和部分/补丁 CI 构建的“预提交”模块,通过其他开源工具提供代码静态分析作为可配置报告的一部分。 对 C、C++、Java、Perl、Python、Ruby、Shell 和 XML 的外部支持。 可以通过插件框架进行扩展。
2.Axivion包豪斯套件
其官方网站是:
针对 Ada、C、C、C++、C# 和 Java 代码的静态代码分析工具包,可以执行架构检测、接口分析、MISRA 检测和克隆检查等各种类型的分析。
3.数字安全辅助
其官方网站是:
一个轻量级 IDE 插件,可在开发人员编码时实时突出显示常见的安全漏洞。 支持 Java、.NET 和 PHP。
4.CodeDx
其官方网站是:
软件应用漏洞关联与管理系统集成了各种静态应用安全测试(SAST)和动态应用安全测试(DAST)工具测量的软件漏洞以及自动代码审查的结果,并进行汇总和标准化。 支持 C、C++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、VB.NET 和 XML/XSL。
5.推断
其官方网站是:
一款适用于 Java、C、C、C++ 和 Objective-C 的工具。 针对Facebook联通应用的空针、泄漏、并发问题、API使用问题。 在 github 上以开源形式提供。
6.保护代码
其官方网站是:
剖析软件源代码和二进制补码文件的组成,搜索开源和第三方代码及其相关许可证。 您还可以检查是否存在安全漏洞。
7.RogueWaveSoftwareOpenLogic
其官方网站是:
扫描源代码和二进制补码文件,以识别开源和许可证、管理开源政策和审批、报告安全漏洞并提供开源技术支持。
8.SideCI
其官方网站是:
基于静态代码分析的手动代码审查工具,适用于 Ruby、Python、PHP、JavaScript、CoffeeScript 和 Go。 可以检测样式、质量、依赖性、安全性和错误。
9.SofCheckInspector
其官方网站是:
对 Ada 和 Java 的逻辑错误、竞争条件和冗余代码进行静态检查; 从代码中手动提取后置条件。
10.YetAnother源代码分析器
其官方网站是:
它是一个基于插件的框架,可以扫描任何文件类型。 有适用于 C、C++、Java、Java、JavaScript、ASP、PHP、HTML-CSS、ColdFusion、COBOL 和其他文件类型的插件。 它与其他扫描仪集成,包括 FindBugs、PMD 和 Pixy。
11. 拉克西斯
其官方网站是:
以下是其官网对其产品的介绍:
”
Raxis 使用自动化的逐行流程来审查真实代码是否存在安全风险。 我们的流程旨在满足合规性标准,例如 PCIDSS 要求 6.3.2,该标准要求任何自定义内部或公共代码必须由原作者以外的其他人审核。 事实上,这可能比使用手动过程需要更长的时间,但是 PCI 推荐的自动过程使我们能够发现工具通常忽略的逻辑错误。 据报道,我们将提出建议,并且在适用的情况下,我们还将提出转向安全编码最佳实践的建议,即使代码没有立即存在漏洞。 在个别情况下,我们可能会使用工具来帮助我们批量定位编码问题,而这项工作是由高技能的程序员和安全专家自动完成的。
我们的 Raxis 渗透测试团队在整个工作中发现了许多编码和逻辑错误。 这种编码错误通常非常简单,但错误的结果可能非常有害。 例如,缺少对隐藏数组的输入检查可能会完全损害系统,包括创建用户帐户的能力。 其实这些情况都比较少见,但我们也看到过客户没有包含适当的用户授权设计,导致整个应用的操作权限较低的情况。 手动解决方案不如我们的手动流程有效,并且可能会在生产代码中留下其他人可以利用的安全漏洞。
”。
12.RipsTechnologies
官方网站是:
RIPS 是唯一可以执行特定于语言的安全分析的代码分析解决方案。 它测量最复杂的安全漏洞,这些漏洞通常深埋在源代码中,使得其他工具难以检测到。
它支持主要框架、SDLC 集成、相关行业标准,并且可以部署为自托管软件或软件即服务。
凭借其高精度和无误报噪声,RIPS 非常适合分析 Java 和 PHP 应用程序。
13.PVS工作室
官方网站是:
PVS-Studio是一款用于监控程序源代码中的错误和安全漏洞的工具,该工具是用C、C++、C#和Java编译的。 它适用于 Windows、Linux 和 macOS 环境。
它可以集成到 Visual Studio、IntelliJ IDEA 和其他广泛使用的 IDE 中。 分析结果可以导出到 SonarQube。
14. 九湾
官方网站是:
Kiuwan 是市场上技术覆盖率和集成度最高的 SAST 和 SCA 平台。
通过DevSecOps,Kiuwan取得了出色的基准分数(例如Owasp、NIST、CWE等),并提供了超越静态分析范围的丰富功能,以满足SDLC中每个利益相关者的需求。
15. 伽玛
官方网站是:
Gamma 是 Acellere 开发的智能软件分析平台。 它提高了代码审查速度,使开发人员和团队能够在更短的时间内构建更高质量的软件。
它手动确定代码中热点的优先级并提供清晰的可视化功能。 凭借其多向量诊断技术,可以从包括软件设计在内的多个角度进行分析,使企业能够透明地管理和提高软件质量。
16. 换档
官方网站是:
Reshift 是一个基于 SaaS 的软件平台,可帮助软件开发团队在部署到生产之前更快地发现代码中的更多漏洞。
减少发现和修补漏洞的成本和时间,识别数据漏洞的潜在风险,帮助软件公司实现合规和监管要求。
17. 代码场景
官方网站是:
CodeScene 根据公司实际使用代码的方式优先考虑技术债务和代码质量问题。 因此,CodeScene 将结果限制为相关、可操作并直接转化为业务价值的信息。
CodeScene 还超越了传统工具,通过检查公司和人员的优势和劣势来衡量软件架构中的协调困难、人员流动风险和知识差距。
最后,CodeScene 集成到您的 CI/CD 管道中,充当额外的主管来预测交付风险并提供上下文感知的质量门来监督代码的运行状况。
18.视觉专家
官方网站是:
VisualExpert 是针对 SQLServer、Oracle 和 PowerBuilder 代码的独特静态代码分析工具。
VisualExpert 工具箱提供了 200 多种功能asp监控网站源码,可在进行更改时减少维护并防止损坏。
l 代码审查
lCRUD矩阵
IE/R 图与代码视图同步。
l代码性能分析
l代码探索
l影响力分析
l 源代码文档
l代码对比
19.Veracode
官方网站是:
Veracode是一款基于SaaS模式构建的静态分析工具。 该工具主要从安全角度分析代码。
该工具使用二进制补码/字节码,从而确保 100% 的测试覆盖率。 如果您想编写安全的代码,这个工具被证明是一个不错的选择。
20.强化
官方网站是:
Fortify 是惠普的一款工具,旨在让开发人员创建无错误的安全代码。
该工具可供开发团队和安全团队使用。 允许开发团队和安全团队一起发现并修复安全相关问题,
当它扫描代码时,它会对发现的问题进行排名,确保最关键的问题首先得到解决。
21.Parasoft
官方网站是:
Parasoft 是静态分析测试的最佳工具之一。 与其他静态分析工具相比asp监控网站源码,Parasoft 的静态分析工具略有不同,因为它还可以支持各种类型的静态分析技术,例如基于模式、基于流程、第三方分析、度量和多变量分析。
这个工具的另一个用处是,除了识别缺陷之外,它还提供了避免缺陷的功能。
22. 覆盖蒂
官方网站是:
CoverityScan 是一个基于云的开源估计工具。 它适用于用 C、C++、Java、C# 或 JavaScript 编写的项目。 该工具提供了非常详细且清晰的问题描述,有助于更快地解决问题。
如果您正在寻找开源工具,这是一个不错的选择。
23.演员表
官方网站是:
一款用于剖析 50 多种语言的手动工具,无论项目规模如何,它都能出色地工作。 据悉,它还为用户提供了一个仪表板,帮助判断质量和生产力。
24. 代码声纳
官方网站是:
Grammatech的静态分析工具除了可以让用户发现编程错误之外,还可以帮助用户发现与领域相关的编码错误。 它还允许自定义检查点,并且可以根据需要配置外部审查。
总体而言,它是一个非常好的检查安全漏洞的工具,其深厚的静态分析能力使其在众多静态分析工具中脱颖而出。
25.明白
官方网站是:
顾名思义,该工具允许用户通过分析、测量、可视化和维护来理解代码。 这使用户能够快速分析大量代码。 这是一种主要用于民用航空航天和汽车行业的工具。 支持主流语言如C/C++、ADA、COBOL、FORTRAN、PASCAL、Python等在线语言。
26. 代码比较
官方网站是:
CodeCompare - 是一个文件和文件夹比较和合并工具。 超过 70,000 个用户在解决合并冲突和部署源代码更改时使用 CodeCompare。
CodeCompare 是一个免费的比较工具,用于比较和合并不同的文件和文件夹。 CodeCompare 与所有流行的源代码控制系统集成:TFS、SVN、Git、Mercurial 和 Perforce。 CodeCompare 可以作为独立的文件比较工具,也可以作为 VisualStudio 的扩展。
主要功能:
l 文本比较与合并
l 语义源码对比
l 文件夹比较
lVisualStudio集成
l版本控制集成等
27.Clang静态分析器
官方网站是:
这是一个开源工具,可用于分析 C 和 C++ 代码。 它使用 clang 库,是一个可重用的组件,可供多个客户端使用。
28.Cpp依赖
官方网站是:
与其他静态分析工具相比,它是一个非常易于使用的工具。 顾名思义,这个工具是用来分析C/C++代码的。 它支持不同的代码质量指标,提供监控趋势的功能,具有与Visual Studio集成的插件,允许编写自定义查询,并具有非常好的诊断功能。
29. 拉克西斯
官方网站是:
它不仅可以查找语义和语法错误,还允许用户检查代码中的漏洞。 该工具与许多常用的 IDE 集成良好,例如 Eclipse、VisualStudio 和 IntellijIDEA。 该工具可以与代码创建并行运行,可以逐行检测,并提供实时处理缺陷的能力。
30.Cpp检查
官方网站是:
一个免费的C/C++静态分析工具。 该工具的用处在于它与其他几个开发工具的集成,例如 Eclipse、Jenkins、CLion、VisualStudio 等。
31.HelixQAC
官方网站是:
HelixQAC是Perforce(原PRQA)推出的一款优秀的C和C++代码静态分析测试工具。 该工具附带一个安装程序,支持 Windows7、LinexRhel5 和 Solaris10 等平台。 它提供了非常清晰的诊断程序,有助于识别根本原因并快速修复缺陷。
32.戈安娜
官方网站是:
用于 C/C++ 的安全静态分析工具,允许与 Microsoft Visual Studio、Eclipse、Texas Instruments Code Composer 和更多 IDE 集成。 据悉,它还具有超强的错误报告功能。
33. 多空间
官方网站是:
Polyspacebug-finder可以帮助发现C/C++缺陷;
它与Eclipse集成,符合MISRAC、MISRAC++和JSF++等编码规则和标准。
34. 源表
官方网站是:
帮助分析 C/C++、Java、C#、RPG 和 Python 代码的工具。 该工具的另一个用处是它允许与 cppcheck、PMD、FindBugs 等免费静态检测工具集成。
该工具的基本版本是免费的,但功能较少。 根据需要,您可以根据自己的需求判断免费版本是否满足要求。
35. 康卡特
官方网站是:
一个出色的克隆检查工具,支持多种语言,允许与其他静态分析工具集成,并提供一个仪表板,显示有关发现的问题和其他质量指标的详细信息。
36.JArchitect
官方网站是:
该工具使分析Java代码变得简单容易,支持通过LINQ进行代码查询,提供大量代码指标,允许不同重构之间的代码比较,并且具有非常好的自定义报告功能。
37. 奥克林特
官方网站是:
它是一个独立的分析C/C++和Objective-C程序的工具,支持Linux和MacOX平台。 它可以完成静态分析工具所做的所有工作,例如查找bug、未使用的代码、冗余代码等。此外,它还附带可定制的配置,可以帮助用户根据自己的需求进行执行。 定制。
38. 了望塔
官方网站是:
该工具主要供安全专家进行自动代码审查,在本地系统上效果最佳,但也可以扫描远程网站。
有一个广泛的配置文件可以配置不同的报告选项。 创建备用配置文件有助于同时执行多个项目。
39.OWAS代码爬虫
官方网站是:
适用于 .NET 和 Java/J2EE 代码的静态分析工具
40. 拉克西斯
官方网站是:
一个允许安全专家从安全角度进行代码审查的工具。 它还提供了一组可以与安全工具集成的API,以提供代码审查服务。
41. 拉克西斯
官方网站是:
用于测试 C/C++ 源代码。 PCLint可以在Windows操作系统上工作,而FlexeLint是为非Windows操作系统设计的,可以在支持C语言编译器的系统上运行,包括UNIX。
42.IBM Rational
官方网站是:
IBM Rational 为用户提供了不同类型的工具。 其中一种工具是软件分析器,可用于静态分析代码。 该工具是在可扩展框架上设计的,并且与其他 Rational 产品很好地集成。
43.闪电泡芙
官方网站是:
这个静态分析工具是一个非常灵活且易于配置的工具,支持几乎所有平台,例如Windows、UNIX、Linus和MacOSX。
44.声纳Qube
官方网站是:
它是一个基于Web的开源工具,可以覆盖20多种语言并允许使用多种插件。
45.玫瑰格子
官方网站是:
如果您正在寻找一个工具来确保您开发的代码符合 CERT 编码规则,您可以选择 Rosecheckers。
它可以在 SourceForge 中免费获得。
该工具可以检测C/C++代码,有时可以发现其他静态分析工具难以发现的问题。 但它还不能算是一个完全成熟的独立工具,因为它还没有经过充分的测试,目前还只是一个原型。
46. 拉克西斯
官方网站是:
一个开源工具,带有极其灵活的 C 语言分析框架。
47.塞姆勒
官方网站是:
用于 Java 和 C 语言代码的开源安全分析工具。
48.PMD
官方网站是:
PMD 是一款适用于 C/C++、Java 和 JavaScript 的开源代码分析工具。 这是一个简单的工具,可用于查找常见缺陷。 它还测量 java 中的重复代码。
49.寻找虫子
官方网站是:
用于查找 Java 代码中的错误的免费工具。 它支持任何版本的 Java,但需要 JRE(或 JDK)1.7.0 或更高版本才能运行。
50.IBMAppScan源
官方网站是:
用于在 SDLC 阶段早期识别漏洞。 同时支持联通扫描。
51.瑕疵者
官方网站是:
这是一个开源工具,主要用于查找C/C++程序中的安全漏洞。 它可以在UNIX等系统上下载、安装和运行。
52.夹板
官方网站是:
一个针对C语言程序的开源静态和安全分析工具。 它的功能非常基本,通过附加配置,它可以像任何其他标准工具一样执行。
53.Hfca
官方网站是:
HeaderFreeCyclomaticComplexityAnalyser 是一个执行分析的工具,它不关心 C/C++ 标头和 Java 导出。 它使用方便,无需安装。 适用于 C/C++、Java 和 ObjectiveC。
54. 克洛克
官方网站是:
该工具用 Perl 编写,允许用户区分空白行、注释行和化学行,并且支持多种语言。 总的来说,这是一个易于使用的工具,具有良好的功能,例如提供多种格式的输出,可以在多个系统上运行,并且附带简单的安装包。
55. 时间计数
官方网站是:
一种开源工具,可让用户估计多种语言和平台的化学源行数。
56.JSint
官方网站是:
这是一个支持JavaScript静态分析的免费工具。
57. 深度扫描
官方网站是:
DeepScan 是一款中级静态分析工具,支持 JavaScript、TypeScript、React 和 Vue.js。
您可以使用 DeepScan 来查找可能的运行时错误和质量问题,而不是编码约定。 与您的 GitHub 存储库集成,以获得对 Web 项目的质量洞察。
【概括】
本文列出了业界常用的静态代码分析工具,希望对感兴趣的同学有所帮助。
【版权声明】本文为华为云社区用户原创内容。 转载时须注明文章来源(华为云社区)、文章链接、文章作者等基本信息。
