靜態(tài)代碼分析工具大全(收集57個)

【概述】

靜態(tài)分析工具的最大好處就是在軟件開發(fā)流程的早期階段發(fā)現(xiàn)致命的缺陷。

我們因該盡可能的在代碼實際推送到功能QA之前就修復這些缺陷。 如果拖到最后的話，要花大的代價來查找和修復這些問題。

接下來，我們就逐一的了解一下目前業(yè)內(nèi)正在被使用的靜態(tài)代碼分析工具，然后結合您的需求，看看哪些可以對癥下藥幫您解決問題。

1.?Apache Yetus

其官方網(wǎng)站是：

https://yetus.apache.org/

一個構建和發(fā)布工具的集合。包括?"precommit "模塊，用于執(zhí)行完整和部分/補丁CI構建，通過其他開源工具提供代碼的靜態(tài)分析，作為可配置報告的一部分。內(nèi)置支持C、C++、Java、Perl、Python、Ruby、Shell和XML?？梢酝ㄟ^一個插件框架進行擴展。

2.?Axivion Bauhaus Suite

其官方網(wǎng)站是：

https://www.axivion.com/

一個針對Ada、C、C、C++、C#和Java代碼的靜態(tài)代碼分析工具套件，可執(zhí)行各種分析，如架構檢查、接口分析、MISRA檢查和克隆檢測等。

3.?Cigital SecureAssist

其官方網(wǎng)站是：

https://marketplace.eclipse.org/content/cigital-secureassist

一個輕量級的IDE插件，可以在開發(fā)人員編寫代碼時實時指出常見的安全漏洞。支持Java、.NET和PHP。

4.?Code Dx

其官方網(wǎng)站是：

http://codedx.com/

軟件應用漏洞關聯(lián)與管理系統(tǒng)，整合多種靜態(tài)應用安全測試(SAST)和動態(tài)應用安全測試(DAST)工具檢測到的軟件漏洞，以及手動代碼審查的結果，并將其歸納整理和規(guī)范化。支持C、C++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、VB.NET和XML/XSL。

5.?Infer

其官方網(wǎng)站是：

https://fbinfer.com/

一個適用于Java、C、C、C++和Objective-C的工具。針對空指針問題、泄漏、并發(fā)問題和Facebook移動應用的API使用問題。在github上以開放源代碼的形式提供。

6.?Protecode

其官方網(wǎng)站是：

http://www.protecode.com/

分析軟件源代碼和二進制文件的組成，搜索開放源代碼和第三方代碼及其相關的許可。還可以檢測安全漏洞。

7.?Rogue Wave Software OpenLogic

其官方網(wǎng)站是：

http://www.perforce.com/

掃描源代碼和二進制文件以識別開放源碼和許可證，管理開放源碼政策和審批，報告安全漏洞，并提供開放源碼技術支持。

8.?SideCI

其官方網(wǎng)站是：

https://sider.review/

基于靜態(tài)代碼分析的自動代碼審查工具，適用于Ruby、Python、PHP、JavaScript、CoffeeScript和Go?？梢詸z查風格、質(zhì)量、依賴性、安全性和bug。

9.?SofCheck Inspector

其官方網(wǎng)站是：

http://www.sofcheck.com/

用于Ada和Java的邏輯錯誤、競賽條件和冗余代碼的靜態(tài)檢測；自動從代碼中提取前置條件。

10.?????????Yet Another Source Code Analyzer

其官方網(wǎng)站是：

http://yasca.org/

是一個基于插件的框架，可以掃描任意文件類型，有C、C++、Java、Java、JavaScript、ASP、PHP、HTML-CSS、ColdFusion、COBOL等文件類型的插件。它集成了其他掃描器，包括FindBugs、PMD和Pixy。

11.?????????Raxis

其官方網(wǎng)站是：

https://raxis.com/code-review

如下是其官方網(wǎng)站對其產(chǎn)品的介紹：

“

我們的Raxis滲透測試團隊在整個工作過程中看到了大量的編碼和邏輯錯誤。這些編碼錯誤往往非常簡單，但是錯誤的結果危害性卻是很大的。例如，遺漏了一個隱藏字段的輸入檢查，就可能會導致系統(tǒng)完全被破壞，包括創(chuàng)建用戶賬戶的能力。雖然這種情況比較少見，但我們也看到過客戶沒有加入適當?shù)挠脩羰跈嘣O計，導致整個應用的操作權限過高的案例。自動化的解決方案并不像我們的手工流程那樣有效，可能會在生產(chǎn)代碼中留下安全漏洞，被他人利用。

”。

12.?????????Rips Technologies

官方網(wǎng)站為：

https://www.ripstech.com/product/

RIPS是唯一能執(zhí)行特定語言安全分析的代碼分析解決方案。它能檢測出最復雜的安全漏洞，這些漏洞往往深藏在源代碼中，其他工具無法發(fā)現(xiàn)。

它支持主要框架、SDLC集成、相關行業(yè)標準，并可作為自托管軟件部署或作為軟件即服務使用。

RIPS以其高精確度和無假陽性噪聲，是分析Java和PHP應用程序的理想選擇。

13.?????????PVS-Studio

官方網(wǎng)站為：

https://www.viva64.com/en/pvs-studio-download/?promo=top40

PVS-Studio是一個用于檢測程序源代碼中的BUG和安全漏洞的工具，它是用C、C++、C#和Java編寫的。它可以在Windows、Linux和macOS環(huán)境中工作。

它可以集成到Visual Studio、IntelliJ IDEA和其他廣泛使用的IDE中。分析的結果可以導入到SonarQube中。

14.?????????Kiuwan

官方網(wǎng)站為：

https://www.kiuwan.com/

Kiuwan是目前市場上技術覆蓋和集成度最高的SAST和SCA平臺。

通過DevSecOps的方法，Kiuwan獲得了出色的基準分數(shù)（如Owasp、NIST、CWE等），并提供了豐富的功能，超越了靜態(tài)分析的范疇，能夠滿足SDLC中每一個利益相關者的需求。

15.?????????Gamma

官方網(wǎng)站為：

https://mygamma.io/

Gamma是一個智能軟件分析平臺，由Acellere開發(fā)。它可以加快代碼審查速度，支持開發(fā)人員和團隊在更短的時間內(nèi)構建更高質(zhì)量的軟件。

它能自動優(yōu)先處理代碼中的熱點，并提供清晰的可視化功能。憑借其多矢量診斷技術，它可以從多個角度來分析，包括軟件設計等多個方面進行分析，使企業(yè)能夠透明地管理和提高軟件質(zhì)量。

16.?????????Reshift

官方網(wǎng)站為：

https://www.reshiftsecurity.com/

Reshift是一個基于SaaS的軟件平臺，可以幫助軟件開發(fā)團隊在部署到生產(chǎn)之前，更快地在自己的代碼中發(fā)現(xiàn)更多的漏洞。

減少發(fā)現(xiàn)和修復漏洞的成本和時間，識別數(shù)據(jù)漏洞的潛在風險，幫助軟件公司實現(xiàn)合規(guī)性和監(jiān)管要求。

17.?????????CodeScene

官方網(wǎng)站為：

https://empear.com/

CodeScene根據(jù)公司如何實際使用代碼來優(yōu)先處理技術債務和代碼質(zhì)量問題。因此，CodeScene將結果限制在相關的、可操作的、直接轉(zhuǎn)化為商業(yè)價值的信息上。

CodeScene還超越了傳統(tǒng)的工具，通過測量公司和人員的側(cè)重點來檢測軟件架構中的協(xié)調(diào)瓶頸、離崗風險和知識差距。

最后，CodeScene集成到您的CI/CD管道中，作為一個額外的監(jiān)管員來預測交付風險，并提供上下文感知的質(zhì)量門來監(jiān)督您的代碼的健康狀況。

18.?????????Visual Expert

官方網(wǎng)站為：

https://www.visual-expert.com/

Visual Expert是一款針對SQL Server、Oracle和PowerBuilder代碼的獨特靜態(tài)代碼分析工具。

Visual Expert工具箱提供了200多個功能，在進行修改時可以減少維護和避免衰退。

l?代碼審查

l?CRUD矩陣

l?E/R圖與代碼視圖同步。

l?代碼性能分析

l?代碼探索

l?影響分析

l?源代碼文檔

l?代碼比較

19.?????????Veracode

官方網(wǎng)站為：

http://www.veracode.com

Veracode是一款基于SaaS模式構建的靜態(tài)分析工具。該工具主要從安全的角度分析代碼。

該工具使用二進制代碼/字節(jié)碼，因此可以確保100%的測試覆蓋率。如果你想編寫安全代碼，這個工具被證明是一個不錯的選擇。

20.?????????Fortify

官方網(wǎng)站為：

https://www.microfocus.com

Fortify是惠普公司的一款工具，它的目的是讓開發(fā)人員創(chuàng)建無錯誤的安全代碼。

這款工具,?開發(fā)團隊和安全團隊都能使用。可以讓開發(fā)團隊和安全團隊共同發(fā)現(xiàn)并修復安全相關的問題，

在掃描代碼的同時，它會對發(fā)現(xiàn)的問題進行排序，從而可以確保首先修復最關鍵的問題。

21.?????????Parasoft

官方網(wǎng)站為：

https://www.parasoft.com

Parasoft是靜態(tài)分析測試的最佳工具之一。與其他靜態(tài)分析工具相比，Parasoft的靜態(tài)分析工具略有不同，因為它能夠支持各種類型的靜態(tài)分析技術，如基于模式的、基于流程的、第三方分析、度量和多變量分析。

該工具的另一個好處是除了識別缺陷之外，它還提供一個防止出現(xiàn)缺陷的功能。

22.?????????Coverity

官方網(wǎng)站為：

https://scan.coverity.com/

Coverity Scan是一個基于云計算的開源工具。它適用于使用C、C++、Java、C#或JavaScript編寫的項目。這個工具提供了一個非常詳細而清晰的問題描述，有助于更快的解決問題。

如果你正在尋找一個開源工具，這是個不錯的選擇。

23.?????????Cast

官方網(wǎng)站為：

http://www.castsoftware.com/

一個可以用來分析50多種語言的自動化工具，無論項目規(guī)模大小，它都能出色地工作。此外，它還為用戶提供了一個儀表板，有助于衡量質(zhì)量和生產(chǎn)力。

24.?????????CodeSonar

官方網(wǎng)站為：

http://www.grammatech.com/products/source-code-analysis

Grammatech的靜態(tài)分析工具，不僅可以讓用戶找到編程錯誤，還可以幫助用戶找出域相關的編碼錯誤。它還允許自定義檢查點，并且還可以根據(jù)需求配置內(nèi)置檢查。

總的來說，它是一個很好的檢測安全漏洞的工具，它的深度靜態(tài)分析能力使它從眾多的靜態(tài)分析工具中脫穎而出。

25.?????????Understand

官方網(wǎng)站為：

https://scitools.com/

正如它的名字一樣，這個工具可以讓用戶通過分析、測量、可視化和維護來理解代碼。這使得用戶可以快速分析大量的代碼。這是一個主要用于航空航天和汽車行業(yè)的工具。支持C/C++、ADA、COBOL、FORTRAN、PASCAL、Python等主流語言和其他網(wǎng)絡語言。

26.?????????Code Compare

官方網(wǎng)站為：

https://www.devart.com/codecompare/

Code Compare -?是一個文件和文件夾比較和合并工具。超過70,000名用戶在解決合并沖突和部署源代碼修改時使用Code Compare。

Code Compare是一個免費的比較工具，用于比較和合并不同的文件和文件夾。Code Compare集成了所有流行的源碼控制系統(tǒng)：TFS, SVN, Git, Mercurial,?和Perforce。Code Compare可以作為一個獨立的文件比較工具和Visual Studio的擴展使用。

主要功能：

l??文本比較和合并

l??語義源碼比較

l??文件夾比較

l??Visual Studio集成

l??版本控制集成和其他

27.?????????Clang Static Analyzer

官方網(wǎng)站為：

http://clang-analyzer.llvm.org/

這是一個開源工具，可以用來分析C，C++代碼。它使用clang庫，是一個可重用的組件，可以被多個客戶端使用。

28.?????????CppDepend

官方網(wǎng)站為：

https://www.cppdepend.com/

與其他靜態(tài)分析工具相比，是一款非常容易使用的工具。顧名思義，這個工具是用來分析C/C++代碼的。它支持不同的代碼質(zhì)量指標，提供了監(jiān)控趨勢的功能，有一個與Visual Studio集成的插件，允許編寫自定義查詢，并帶有非常好的診斷功能。

29.?????????Raxis

官方網(wǎng)站為：

https://www.perforce.com/products/klocwork

除了查找語義和語法錯誤，這個工具還可以讓用戶檢測代碼中的漏洞。這個工具很好地集成了許多常用的IDE，如Eclipse、Visual Studio和Intellij IDEA。該工具可以與代碼創(chuàng)建并行運行，它可以逐行檢查，并提供了實時處理缺陷的功能。

30.?????????Cppcheck

官方網(wǎng)站為：

http://cppcheck.sourceforge.net/

一個免費的C/C++靜態(tài)分析工具。這個工具的好處在于它與其他幾個開發(fā)工具的集成，如Eclipse、Jenkins、CLion、Visual Studio等。

31.?????????Helix QAC

官方網(wǎng)站為：

https://www.perforce.com/products/helix-qac

Helix QAC是Perforce（原PRQA）推出的一款優(yōu)秀的C和C++代碼靜態(tài)分析測試工具。該工具自帶一個安裝程序，支持Windows 7、Linex Rhel 5和Solaris 10等平臺。它提供了非常清晰的診斷程序，有助于識別根本原因和快速修復缺陷。

32.?????????Goanna

官方網(wǎng)站為：

http://redlizards.com/

一個用于C/C++的安全靜態(tài)分析工具，允許與Microsoft Visual Studio、Eclipse、Texas Instruments Code Composer和更多的IDE集成。此外，它還具有出色的錯誤報告功能。

33.?????????Polyspace

官方網(wǎng)站為：

http://in.mathworks.com/products/polyspace-bug-finder/

Polyspace bug-finder可以幫助查找C/C++的缺陷；

它與Eclipse集成，同時符合MISRA C、MISRA C++和JSF++等編碼規(guī)則標準。

34.?????????Sourcemeter

官方網(wǎng)站為：

https://www.sourcemeter.com/

一個幫助分析C/C++、Java、C#、RPG和Python代碼的工具。這個工具的另一個好處是它允許與免費的靜態(tài)檢查工具如cppcheck、PMD、FindBugs集成。

這個工具的基本版是免費的，但它的功能較少。根據(jù)需要，你可以根據(jù)自己的需求來判斷免費版是否滿足要求。

35.?????????Conqat

官方網(wǎng)站為：

https://www.cqse.eu/en/blog/conqat-end-of-life/

一個優(yōu)秀的工具，可以用于克隆檢測，支持多種語言，允許與其他靜態(tài)分析工具集成，提供一個儀表板，顯示發(fā)現(xiàn)問題的詳細信息和其他質(zhì)量指標。

36.?????????JArchitect

官方網(wǎng)站為：

http://www.jarchitect.com/

該工具可以讓分析Java代碼變得簡單易行，支持通過LINQ進行代碼查詢，提供了大量的代碼指標，允許在不同的構建之間進行代碼比較，并且具有很好的自定義報告功能。

37.?????????Oclint

官方網(wǎng)站為：

http://oclint.org/

是一個獨立的工具，用于分析C/C++和Objective-C程序，支持Linux和Mac OX平臺。它可以完成靜態(tài)分析工具所要做的一切工作，如查找bug、未使用的代碼、冗余代碼等，除此之外，它還帶有一個可定制的配置，可以幫助用戶根據(jù)自己的需求進行定制。

38.?????????Watchtower

官方網(wǎng)站為：

https://github.com/chrisallenlane/watchtower

該工具主要用于安全專家進行手動代碼審查，在本地系統(tǒng)上的效果最好，但也可以掃描遠程網(wǎng)站。

有一個廣泛的配置文件，可以配置不同的報告選項。創(chuàng)建備用的配置文件有助于同時執(zhí)行多個項目。

39.?????????OWASP Code Crawler

官方網(wǎng)站為：

https://archive.codeplex.com/?p=codecrawler

用于.NET和Java/J2EE代碼的靜態(tài)分析工具

40.?????????Raxis

官方網(wǎng)站為：

https://github.com/OWASP/owasp-orizon

一個可以讓安全專家從安全的角度來進行代碼審查的工具。它還提供了一套可與安全工具集成的API，以提供代碼審查服務。

41.?????????Raxis

官方網(wǎng)站為：

https://gimpel.com/

用于測試C/C++源代碼。PC Lint可以在windows操作系統(tǒng)上工作，而Flexe Lint是專為非windows操作系統(tǒng)設計的，可以在包括UNIX在內(nèi)的支持C語言編譯器的系統(tǒng)上運行。

42.?????????IBM Rational

官方網(wǎng)站為：

https://www.ibm.com/support/knowledgecenter/hr/SSQ2R2_9.5.1/com.ibm.help.common.rational.doc/topics/c_overview_rational.html

IBM Rational為用戶提供了不同類型的工具，其中一個工具是軟件分析器，它可以用來對代碼進行靜態(tài)分析。這個工具是在一個可擴展的框架上設計的，并與其他Rational產(chǎn)品很好地集成。

43.?????????Eclair

官方網(wǎng)站為：

https://www.bugseng.com/eclair-0

這個靜態(tài)分析工具是一個非常靈活和易于配置的工具，幾乎支持所有平臺，如Windows、UNIX、Linus、Mac OS X。

44.?????????SonarQube

官方網(wǎng)站為：

http://www.sonarqube.org/

它是一個基于網(wǎng)絡的開源工具，可以覆蓋20多種語言，還允許使用多種插件。

45.?????????Rosecheckers

官方網(wǎng)站為：

https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=508017

如果你正在尋找一個工具來確保開發(fā)的代碼符合CERT的編碼規(guī)則，你可以選擇Rosecheckers。

它在SourceForge中免費提供。

這個工具可以檢查C/C++代碼，有時會發(fā)現(xiàn)其他靜態(tài)分析工具無法發(fā)現(xiàn)的問題，但不能算是一個完全成熟的獨立工具，因為它無法完全測試，目前只是一個原型。

46.?????????Raxis

官方網(wǎng)站為：

http://frama-c.com/

一個開源工具，針對C語言的分析，自帶一個非常靈活的框架。

47.?????????Semmle

官方網(wǎng)站為：

https://semmle.com/

開源的安全分析工具，用于Java和C語言代碼。

48.?????????PMD

官方網(wǎng)站為：

https://pmd.github.io/

PMD是一個開源的代碼分析工具，適用于C/C++、Java、JavaScript。這是一個簡單的工具，可以用來查找常見的缺陷。它還可以檢測java中的重復代碼。

49.?????????FindBugs

官方網(wǎng)站為：

http://findbugs.sourceforge.net/

免費工具，用于查找Java代碼中的BUG。它支持任何版本的Java，但需要JRE（或JDK）1.7.0或更高的版本才能運行。

50.?????????IBM AppScan Source

官方網(wǎng)站為：

http://www-03.ibm.com/software/products/en/appscan-source

用于在SDLC階段的早期識別漏洞。同時支持移動掃描。

51.?????????Flawfinder

官方網(wǎng)站為：

https://www.dwheeler.com/flawfinder/

這是一個開源工具，主要用于查找C/C++程序中的安全漏洞。它可以下載、安裝并在UNIX等系統(tǒng)上運行。

52.?????????Splint

官方網(wǎng)站為：

http://www.splint.org/

一個開源的C語言程序靜態(tài)和安全分析工具。它的功能非?；荆?jīng)過額外的配置，也可以像其他標準工具一樣執(zhí)行。

53.?????????Hfcca

官方網(wǎng)站為：

https://code.google.com/archive/p/headerfile-free-cyclomatic-complexity-analyzer/

Header Free Cyclomatic Complexity Analyser是一個執(zhí)行分析的工具，它不關心C/C++頭和Java導入。使用簡單，不需要安裝。可用于C/C++、Java和Objective C。

54.?????????Cloc

官方網(wǎng)站為：

https://github.com/AlDanial/cloc

該工具用Perl編寫，用戶可以區(qū)分空行、注釋行和物理行，并支持多種語言?？偟膩碚f，這是一個易用的工具，具有良好的功能，如提供多種格式的輸出，可以在多個系統(tǒng)上運行，并附帶一個簡單的安裝包。

55.?????????Sloccount

官方網(wǎng)站為：

https://www.dwheeler.com/sloccount/

一個開放源碼工具，讓用戶在多語言和多平臺上計算物理源碼行數(shù)。

56.?????????JSHint

官方網(wǎng)站為：

http://jshint.com/about/

這是一個支持JavaScript靜態(tài)分析的免費工具。

57.?????????DeepScan

官方網(wǎng)站為：

https://deepscan.io/

DeepScan是一個高級靜態(tài)分析工具，支持JavaScript、TypeScript、React和Vue.js。

你可以使用DeepScan來查找可能的運行時錯誤和質(zhì)量問題，而不是編碼慣例?？膳c你的GitHub倉庫集成，以獲得對Web項目的質(zhì)量洞察。

【小結】

本文列出了目前業(yè)內(nèi)經(jīng)常使用的靜態(tài)代碼分析工具，希望對感興趣的朋友有所裨益。

歡迎討論。

代碼檢查 CodeCheck

版權聲明：本文內(nèi)容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權內(nèi)容。