京寵展信息指南
3907
2022-05-30
代碼檢查商用工具-匯總(檢查代碼規范的工具)
代碼檢查商用工具-匯總
概述
靜態分析工具的最大好處就是在軟件開發流程的早期階段發現致命的缺陷。目前行業內正在被使用的靜態代碼分析工具如下:
工具
1.Coverity(Synopsys)
官方網站:https://scan.coverity.com/;https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html
是否商用:是
Coverity是一款快速、準確且高度可擴展的靜態分析 (SAST) 解決方案,可幫助開發和安全團隊在軟件開發生命周期 (SDLC) 的早期解決安全和質量缺陷,跟蹤和管理整個應用組合的風險,并確保符合安全和編碼標準。
2.Veracode
官方網站:http://www.veracode.com
Veracode靜態分析為IDE和CI/CD管道中的開發人員提供快速、自動的反饋,在部署前執行完整的策略掃描,并就如何快速查找、確定優先級和修復問題提供明確的指導。
3.Checkmax
官方網站:https://checkmarx.com/
是否商用:是
Checkmarx是一家應用安全軟件公司,使命是為企業組織提供應用安全測試產品和服務,幫助開發人員更快交付安全軟件。該公司的1400多家客戶中有5家是世界十大軟件供應商,還有許多財富500強和政府機構,包括SAP、三星、百度等。 Checkmarx平臺將應用安全與DevOps文化結合起來,從編碼階段一直貫穿到SDLC的應用運行測試階段,檢測并修復漏洞。Checkmarx通過將以下三層結合到一個整體解決方案中,使得開發人員能夠更快地交付安全應用。 CxSAST:高度準確和靈活的源代碼分析產品,能夠讓組織自動掃描未經編譯/構建的代碼,識別最流行的編碼語言中的數百個安全漏洞。 CxIAST:漏洞檢測運行測試中的應用的解決方案。為DevOps而打造,無縫集成到CI/CD通道中。CxIAST提供高級漏洞檢測功能,對測試周期的時間無影響。 CxOSA:將開源分析作為SDLC執行的一部分,并管理開源組件,以確保易受攻擊的組件在其成為問題之前被去除或替換。
4.Fortify(Micro Focus)
官方網站:https://www.microfocus.com
是否商用:是
Fortify SCA是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,分析的過程中與它特有的軟件安全漏洞規則集進行全面的匹配、查找,從而將源代碼中存在的安全漏洞掃描處理,并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息,還會有相關的安全知識的說明,以及修復意見的提供。
5.Snyk
官方網站:https://snyk.io/
是否商用:是
Snyk是一款開發者優先的安全解決方案,可幫助您使用開源代碼并保持安全。Snyk以其獨特的漏洞數據庫為基礎,不斷發現并修復已知漏洞和開源依賴項中的許可證違規行為。Snyk集成到開發人員工作流程中,與源代碼控制(例如GitHub,BitBucket,GitLab)集成,連接到CI / CD管道,并持續監控生產中的PaaS和無服務器應用程序。
6.Data Theorem
官方網站:https://www.datatheorem.com/
是否商用:是
Data Theorem分析器引擎持續掃描移動和Web應用程序、API和云資源,以搜索安全漏洞和數據隱私問題。它在幾分鐘內就會顯示您的易受攻擊資產,無需任何額外服務。我們通過您的構建管道實施策略并運行合規性測試,以幫助您避免罰款,并始終意識到泄漏數據。
7.Whitehat Security
官方網站:https://www.whitehatsec.com/
是否商用:是
在開發、運營和安全團隊中自動化和擴展應用程序安全,并在DevOps周期的早期交付安全代碼。提高補救率、補救時間,并節省寶貴的資源。
8.Contrast Security
官方網站:https://www.contrastsecurity.com/
是否商用:是
Contrast Scan是管道原生的,提供現代軟件開發所需的速度、準確性和集成。對比掃描通過將掃描時間縮短10倍,補救時間縮短45倍,同時將應用程序安全效率提高30%,從而改變了15年歷史的SAST技術。
9.GitLab
官方網站:https://docs.gitlab.com/ee/user/application_security/
是否商用:是
GitLab可以檢查您的應用程序是否存在安全漏洞,包括:未經授權的訪問、數據泄露、拒絕服務攻擊等問題。
10.Invictl
官方網站:https://www.invicti.com/
是否商用:是
靈活的團隊需要快速的解決方案。Acunetix利用獨特的掃描引擎,以其發現漏洞的速度和準確性而聞名。Acunetix于2005年在馬耳他島率先推出,是有史以來第一個自動Web應用程序安全掃描儀。
11.GitHub
官方網站:https://github.com/security
是否商用:是
在GitHub工作流中掃描應用程序:領先于安全問題,利用安全社區的專業知識,安全地使用開源。
12. Axivion Bauhaus Suite
官方網站:https://www.axivion.com/
是否商用:是
一個針對Ada、C、C、C++、C#和Java代碼的靜態代碼分析工具套件,可執行各種分析,如架構檢查、接口分析、MISRA檢查和克隆檢測等。
13.CodeDx
官方網站:http://codedx.com/
是否商用:是
軟件應用漏洞關聯與管理系統,整合多種靜態應用安全測試(SAST)和動態應用安全測試(DAST)工具檢測到的軟件漏洞,以及手動代碼審查的結果,并將其歸納整理和規范化。支持C、C++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、VB.NET和XML/XSL。
14. SideCI
官方網站是:https://sider.review/
是否商用:是
基于靜態代碼分析的自動代碼審查工具,適用于Ruby、Python、PHP、JavaScript、CoffeeScript和Go。它可以檢查風格、質量、依賴性、安全性和bug。
15. SofCheck Inspector
官方網站:http://www.sofcheck.com/
是否商用:是
SofCheck檢查器是一個靜態分析工具,用于發現Java字節碼中的錯誤。它使用靜態控制流、數據流和possible-value-set 傳播(PVP)技術來確定可能發生運行時錯誤的位置。這種自動化軟件質量技術提供了100%的路徑覆蓋,并允許在軟件生命周期的早期識別和消除缺陷。檢查器生成Java代碼行為的先決條件和后置條件,對于白盒代碼檢查非常有用。它檢測競爭條件、索引越界、溢出、除以零、死代碼、未使用的分配、測試始終單向或引發的異常。
16.Raxis
官方網站:https://raxis.com/code-review
是否商用:是
17.PVS-Studio
官方網站:https://www.viva64.com/en/pvs-studio-download/?promo=top40
是否商用:是
PVS-Studio是一個靜態代碼掃描工具,用于檢測C、C++、C#和Java源代碼中的錯誤和潛在漏洞。
18.Kiuwan
官方網站:https://www.kiuwan.com/
是否商用:是
Kiuwan是目前市場上技術覆蓋和集成度最高的SAST和SCA平臺。通過DevSecOps的方法,Kiuwan獲得了出色的基準分數(如Owasp、NIST、CWE等),并提供了豐富的功能,超越了靜態分析的范疇,能夠滿足SDLC中每一個利益相關者的需求。
19.Gamma
官方網站:https://embold.io/
是否商用:是
Gamma是一個智能軟件分析平臺,由Acellere開發。它可以加快代碼審查速度,支持開發人員和團隊在更短的時間內構建更高質量的軟件。它能自動優先處理代碼中的熱點,并提供清晰的可視化功能。憑借其多矢量診斷技術,它可以從多個角度來分析,包括軟件設計等多個方面進行分析,使企業能夠透明地管理和提高軟件質量。
20.Reshift
官方網站為:https://www.reshiftsecurity.com/
是否商用:是
Reshift是一個基于SaaS的軟件平臺,可以幫助軟件開發團隊在部署到生產之前,更快地在自己的代碼中發現更多的漏洞。
減少發現和修復漏洞的成本和時間,識別數據漏洞的潛在風險,幫助軟件公司實現合規性和監管要求。
21.CodeScene
官方網站:https://empear.com/
是否商用:是
CodeScene根據公司如何實際使用代碼來優先處理技術債務和代碼質量問題。因此,CodeScene將結果限制在相關的、可操作的、直接轉化為商業價值的信息上。
CodeScene還超越了傳統的工具,通過測量公司和人員的側重點來檢測軟件架構中的協調瓶頸、離崗風險和知識差距。
最后,CodeScene集成到您的CI/CD管道中,作為一個額外的監管員來預測交付風險,并提供上下文感知的質量門來監督您的代碼的健康狀況。
22.Visual Expert
官方網站:https://www.visual-expert.com/
是否商用:是
Visual Expert是一款針對SQL Server、Oracle和PowerBuilder代碼的獨特靜態代碼分析工具。
23.Parasoft
官方網站:https://www.parasoft.com
是否商用:是
Parasoft是靜態分析測試的最佳工具之一。與其他靜態分析工具相比,Parasoft的靜態分析工具略有不同,因為它能夠支持各種類型的靜態分析技術,如基于模式的、基于流程的、第三方分析、度量和多變量分析。
24.Cast
官方網站:http://www.castsoftware.com/
是否商用:是
一個可以用來分析50多種語言的自動化工具,無論項目規模大小,它都能出色地工作。此外,它還為用戶提供了一個儀表板,有助于衡量質量和生產力。
25.CodeSonar
官方網站:http://www.grammatech.com/products/source-code-analysis
是否商用:是
Grammatech的靜態分析工具,不僅可以讓用戶找到編程錯誤,還可以幫助用戶找出域相關的編碼錯誤。它是一個很好的檢測安全漏洞的工具,它的深度靜態分析能力使它從眾多的靜態分析工具中脫穎而出。
26.Understand
官方網站:https://scitools.com/
是否商用:是
Understand可以讓用戶通過分析、測量、可視化和維護來理解代碼。這使得用戶可以快速分析大量的代碼。這是一個主要用于航空航天和汽車行業的工具。支持C/C++、ADA、COBOL、FORTRAN、PASCAL、Python等主流語言和其他網絡語言。
27.CppDepend
官方網站:https://www.cppdepend.com/
是否商用:是
與其他靜態分析工具相比,是一款非常容易使用的工具。CppDepend是用來分析C/C++代碼的。它支持不同的代碼質量指標,提供了監控趨勢的功能,有一個與Visual Studio集成的插件,允許編寫自定義查詢,并帶有非常好的診斷功能。
28.klocwork
官方網站:https://www.perforce.com/products/klocwork
是否商用:是
Klocwork是一款靜態代碼分析工具,支持C、C++、C#、Java和JavaScript語言。同時它支持MISRA、AUTOSAR、NASA、CERT、CWE、DISA STIG和OWASP合規。
29.Helix QAC
官方網站:https://www.perforce.com/products/helix-qac
是否商用:是
Helix QAC是Perforce(原PRQA)推出的一款優秀的C和C++代碼靜態分析測試工具。它提供了非常清晰的診斷程序,有助于識別根本原因和快速修復缺陷。
30.Goanna
官方網站:http://redlizards.com/
是否商用:是
一個用于C/C++的安全靜態分析工具,允許與Microsoft Visual Studio、Eclipse、Texas Instruments Code Composer和更多的IDE集成。此外,它還具有出色的錯誤報告功能。
31.Polyspace
官方網站:http://in.mathworks.com/products/polyspace-bug-finder/
是否商用:是
Polyspace bug-finder可以檢測C/C++的缺陷;它與Eclipse集成,同時覆蓋MISRA C、MISRA C++和JSF++等編碼規則標準。
32.Sourcemeter
官方網站:https://www.sourcemeter.com/
是否商用:是
一個幫助分析C/C++、Java、C#、RPG和Python代碼的工具。它允許與免費的靜態檢查工具如cppcheck、PMD、FindBugs集成。
33.JArchitect
官方網站:http://www.jarchitect.com/
是否商用:是
該工具可以讓分析Java代碼變得簡單易行,支持通過LINQ進行代碼查詢,提供了大量的代碼指標,允許在不同的構建之間進行代碼比較,并且具有很好的自定義報告功能。
34.Raxis
官方網站:https://gimpel.com/
是否商用:是
用于測試C/C++源代碼。PC Lint可以在windows操作系統上工作,而Flexe Lint是專為非windows操作系統設計的,可以在包括UNIX在內的支持C語言編譯器的系統上運行。
35.Eclair
官方網站:https://www.bugseng.com/eclair
是否商用:是
Eclair是一個非常靈活和易于配置的靜態分析工具,幾乎支持所有平臺,如Windows、UNIX、Linus、Mac OS X。
36.SonarQube
官方網站:http://www.sonarqube.org/
是否商用:是
Sonar(SonarQube)是一個開源平臺,用于管理源代碼的質量。Sonar 不只是一個質量數據報告工具,更是代碼質量管理平臺。支持的語言包括:Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。
37.IBM AppScan Source
官方網站:http://www-03.ibm.com/software/products/en/appscan-source
是否商用:是
AppScan Source用于保護傳統和移動應用程序,并構建具有靜態應用程序安全測試的安全軟件。
38.DeepScan
官方網站:https://deepscan.io/
是否商用:是
DeepScan是一個高級靜態分析工具,支持JavaScript、TypeScript、React和Vue.js。DeepScan檢查可能的運行時錯誤和質量問題,而不是編碼慣例。可與你的GitHub倉庫集成,以獲得對Web項目的質量洞察。
39.Sparrow
官方網站:https://www.sparrowfasoo.com/en/
是否商用:是
SPARROW使用的是深度語義分析技術結合傳統的語法分析技術,通過對C/C++/JAVA源代碼的數據流圖和控制流分析并生成類似SSA(即靜態單一賦值法)形式的中間代碼表示,對程序所有的可執行路徑中所有變量取值范圍進行近似,采用近似后的取值超集,推斷、識別并驗證代碼的所有執行路徑上是否會引起運行時錯誤或者是產生安全性缺陷,然后產生缺陷的詳細缺陷路徑的定位和報告,幫助測試人員快速、準確地發現、理解、修改缺陷。
可對任意的桌面環境C/C++/JAVA代碼或嵌入式C/C++/JAVA代碼進行便捷的、快速的、準確的運行時缺陷、安全缺陷的識別、定位及統計報告功能。
40.Xchecker
官方網站:暫無
是否商用:是
Xcheck是一個由騰訊公司CSIG質量部代碼安全檢查團隊自研的靜態應用安全測試(SAST,Static application security testing)工具,致力于挖掘代碼中隱藏的安全風險,提升代碼安全質量。
Xcheck現已支持Golang、Java、Nodejs、PHP、Python 五種語言的安全檢查,其他語言支持還在開發中。覆蓋漏洞包括SQL注入、代碼注入、命令注入、跨站腳本、反序列化漏洞、路徑穿越等多種漏洞。
在框架支持上,xcheck內置覆蓋了常見的web框架,也可根據易編寫易擴展的自定義規則模塊自行編寫規則對第三方框架進行覆蓋支持。
41.CodeShield
官方網站:https://codeshield.io/
是否商用:是
CodeShield有三大類安全檢測功能:1)錯配風險 2)開源組件漏洞檢測 3)注入類問題檢測。其中注入類問題的檢測是基于精準的數據流(Synchronized Pushdown Systems for Pointer and Data-Flow Analysis)分析引擎實現的,它由Johannes Sp?th在博士畢業時發表的,獲得Ernst Denert Software Engineering Award 2019。
42.DeepSource
官方網站:https://www.deepsource.io
是否商用:是
DeepSource 可以幫你在代碼評審期間自動發現并修復代碼中的問題。它可以與 Bitbucket、GitHub 或 GitLab 帳戶集成。這個工具可以找出反模式、bug 風險、性能問題。DeepSource 還會生成并跟蹤各種指標(例如依賴項計數、文檔覆蓋率等)。分析器先發現文件級別的問題 (如在特定位置發現反模式),并進一步發現代碼庫級別的問題 (如發現有些依賴項沒有安裝)。DeepSource Autofix 會為檢測到的問題提出修復建議,并創建一個修復的拉取請求。
43.Codacy
官方網站:https://www.codacy.com
是否商用:是
Codacy是一個靜態分析工具,可以幫助開發人員處理技術債務并提高代碼質量。Codacy 監控每一次代碼提交和 PR 的代碼質量。可以用它來加強代碼質量標準,加強安全實踐,并節省代碼評審時間。
44.Embold
官方網站:https://embold.io
是否商用:是
Embold是一個通用的靜態分析器,可以幫助開發人員在關鍵代碼問題成為障礙之前把它們找出來。它是一個有效診斷、轉換和維護應用程序的得力工具。它集成了人工智能和機器學習技術,可以找出一級問題,提供最佳解決方案,并在必要時重構應用程序。你可以在已有的 DevOps 技術棧中使用它,可以在內部使用,也可以在私有云和公共云中使用它。
45.DMSCA(端瑪)
官方網站:http://www.dumasoftware.com/goods_detail/3.html
是否商用:是
端瑪企業級靜態源代碼掃描分析服務平臺(英文簡稱:DMSCA)是一個獨特的源代碼安全漏洞、質量缺陷和邏輯缺陷掃描分析服務平臺。該平臺可用于識別、跟蹤和修復在源代碼中的技術和邏輯上的缺陷,讓軟件開發團隊及測試團隊快速、準確定位源代碼中的安全漏洞、質量和業務邏輯缺陷等問題,并依據提供的專業中肯的修復建議,快速修復。提高軟件產品的可靠性、安全性。同時兼容并達到國際、國內相關行業的合規要求。
DMSCA是端瑪科技在多年靜態分析技術的積累及研發努力的基礎上,聯合多所國內及國際知名大學、專家共同分析全球靜態分析技術的優缺點后、結合當前開發語言的技術現狀、源代碼缺陷的發展勢態和市場后,研發出的新一代源代碼企業級分析方案旨在從根源上識別、跟蹤和修復源代碼技術和邏輯上的缺陷。該方案克服了傳統靜態分析工具誤報率(False Positive)高和漏報(False Negative)的缺陷。打斷了國外產品在高端靜態分析產品方面的壟斷,形成中國自主可控的高端源代碼安全和質量掃描產品,并支持中國自己的源代碼檢測方面的國家標準(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#),致力于為在中國的企業提供更直接,更個性化的平臺定制和本地化服務。
46.Armorize CodeSecure
官方網站:http://www.armorize.com/codesecure
是否商用:是
阿碼科技成立于2006年,總部設立于美國加州圣克拉拉市,研發中心位于臺灣的南港軟件工業園區。阿碼科技提供全方位網絡安全解決方案,捍衛企業免于受到黑客利用 Web 應用程序的漏洞所發動的攻擊。阿碼科技 CodeSecure可有效地協助企業與開發人員在軟件開發過程及項目上線后找出 Web 應用程序風險,并清楚交代風險的來龍去脈 (如何進入程序,如何造成問題) 。CodeSecure內建語法剖析功能無需依賴編譯環境,任何人員均可利用 Web操作與集成開發環境雙接口,找出存在信息安全問題的源代碼,并提供修補建議進行調整。CodeSecure依托于自行開發的主機進行遠程源代碼檢 測,在保證速度穩定的同時方便用戶進行Web遠程操作。
47.CodeQL
官方網站:https://securitylab.github.com/tools/codeql/
是否商用:是
CodeQL 是一個語義代碼分析引擎,它可以掃描發現代碼庫中的漏洞。使用 CodeQL,可以像對待數據一樣查詢代碼。編寫查詢條件以查找漏洞的所有變體,并處理,同時可以分享個人查詢條件。
48.Codepeer
官方網站:https://www.adacore.com/codepeer
是否商用:是
CodePeer是針對Ada和Java語言的代碼審查工具。通過逐行分析代碼的方式,它既能發現運行時可能出現的失敗點,又能發現疑似多余的、以及不能被代碼庫訪問的程序代碼。此外,CodePeer還能夠在前置條件和后置條件的環境中,對每個子程序進行詳細分析,以發現潛在的錯誤和漏洞。
49.Understand
官方網站:https://www.meteonic.com/understand;https://www.scitools.com/
是否商用:是
Understand檢查您的代碼是否符合代碼的國際標準(如MISRA-C 2004,MISRA-C++ 2008等),或者您自己自定義的檢查標準,如企業的代碼規范等。
50.Astrée
官方網站:https://www.absint.com/astree/index.htm
是否商用:是
Astrée靜態分析編程語言是否正確使用,以及在任何環境中的任何執行過程中是否可能存在任何運行時錯誤。這涵蓋了根據相應語言標準,具有未定義行為或違反硬件特定方面的C或C++的任何使用。
此外,Astree報告無效的并發行為、違反用戶指定的編程指南以及與功能安全相關的各種程序屬性。
51.Code Climate(云上)
官方網站:https://codeclimate.com/
是否商用:是
Code Climate 可以看作是開發團隊的云機器人,無需執行代碼就可對代碼進行標準化測試,能發現 PHP、Python、Ruby 和 JavaScript 的安全漏洞和各種代碼錯誤。
52.Codebeat
官方網站:https://codebeat.co/
是否商用:是
CodeBeat是一種流行的代碼審查工具,它可以提供自動化的代碼審查與反饋。在從1到4級的通用等級代碼審查標準中,它屬于第4級工具。CodeBeat支持諸如Python、Ruby、Java、Javascript、Golang、以及Swift等多種語言。
通過提供團隊管理工具,CodeBeat可以輕松地分析代碼,并在團隊中出現開發人員調整時,保持代碼的一致性。由于能夠與Github、Gitlab、Bitbucket、Slack和Hipchat等許多流行工具相集成,因此開發人員和軟件團隊都可以在項目中協同使用CodeBeat。
53.ConQAT
官方網站:https://codeclimate.com/
是否商用:是
Code Climate 可以看作是開發團隊的云機器人,無需執行代碼就可對代碼進行標準化測試,能發現 PHP、Python、Ruby 和 JavaScript 的安全漏洞和各種代碼錯誤。
54.AppСhecker
官方網站:https://npo-echelon.ru/en/solutions/appchecker.php
是否商用:是
AppChecker是一個靜態代碼分析工具,支持C/C++/C#, PHP and Java語言。
55.PT Application Inspector
官方網站:https://npo-echelon.ru/en/solutions/appchecker.php
是否商用:是
PT Application Inspector是唯一一個提供高質量分析和方便工具來自動確認漏洞的源代碼分析器。它顯著加快了報告的工作,并簡化了安全專家和開發人員之間的團隊合作。
56.APPscreener
官方網站:https://solarappscreener.com/
是否商用:是
APPscreener是一個靜態代碼分析工具,支持Java/Scala, PHP, Javascript, C#, PL/SQL, Python, T-SQL, C/C++, ObjectiveC/Swift, Visual Basic 6.0, Ruby, Delphi, ABAP, HTML5和Solidity語言。
57.Code Inspector
官方網站:https://www.code-inspector.com/
是否商用:是
代碼質量和 Technical Debt管理平臺,支持10+語言。
58.DeepCode
官方網站:https://www.deepcode.ai/
是否商用:是
DeepCode基于AI來查找BUG、安全漏洞、性能和API問題。
59.InsiderSec
官方網站:https://insidersec.io/
是否商用:是
一個開源靜態應用程序安全測試工具(SAST),用戶掃描Java(Maven和Android)、Kotlin (Android)、Swift (iOS)、.NET Framework、C#和Javascript (Node.js)。
60.Xanitizer
官方網站:https://www.xanitizer.com/xanitizer/
是否商用:是
Xanitizer是一個Web應用程序靜態代碼掃描工具。
61.Symfony Insight
官方網站:https://insight.symfony.com/
是否商用:是
Symfony Insight檢測安全風險,發現錯誤,并為PHP項目提供可操作的指標。
62.SourceMeter
官方網站:https://www.sourcemeter.com/
是否商用:是
SourceMeter是一個創新的工具,用于對C/C++、Java、C#、Python和RPG項目進行精確的靜態源代碼分析。此工具使您可以僅從源代碼中找到正在開發的系統的弱點,而不需要模擬實時條件。
63.ShiftLeft
官方網站:https://www.shiftleft.io/
是否商用:是
ShiftLeft用于識別代碼庫特有的漏洞。利用代碼屬性圖(CPG)在單個圖中同時運行其分析。自動發現開發中的業務邏輯缺陷,如硬編碼機密和邏輯炸彈。
64.LGTM
官方網站:https://www.shiftleft.io/
是否商用:是
LGTM自動分析每個提交,以盡早識別漏洞,并使開發人員能夠防止0-days漏洞。
65.Attackflow Extension
官方網站:https://www.attackflow.com/Extension
是否商用:是
Attackflow 是一個Visual Studio的插件,它使開發人員能夠在沒有任何事先知識的情況下實時在源代碼中找到關鍵的安全錯誤。
66.AzSK
官方網站:https://azsk.azurewebsites.net/
是否商用:是
適用于Azure的安全DevOps套件(AzSK)在基礎架構即代碼中提供安全IntelliSense、安全驗證測試(SVT)、CICD掃描漏洞、合規性問題和基礎架構錯誤配置。
67.Kics
官方網站:https://kics.io/
是否商用:是
Kics能夠分析代碼中的安全漏洞、合規性問題和基礎架構配置錯誤。
68.Oversecured
官方網站:https://oversecured.com/
是否商用:是
Oversecured是一款移動應用程序漏洞掃描器,專為安全研究人員和漏洞賞金黑客設計。它還允許集成到企業的DevOps流程中。
69.悟空
官方網站:https://www.tianqisoft.cn/
是否商用:是
悟空是一款靜態代碼分析工具,為客戶在軟件開發過程中查找、識別、追蹤絕大部分主流編碼中的技術漏洞和邏輯漏洞,幫助用戶提升抵御網絡攻擊、防止數據泄露等安全問題的能力。
70.Helix QAC
官方網站:http://www.softtest.cn/show/41.html?renqun_youhua=2044129
是否商用:是
Helix QAC是靜態代碼分析工具,依據C和C++編碼規則自動掃描代碼對規則的違背。開發團隊在開發過程的早期就可以用它來檢測缺陷,因為此時修改代碼是最方便也最經濟的。Helix QAC因此自動化強制實施代碼編程標準,比如MISRA,保證代碼的合規性。
71.鑒釋
官方網站:https://xcalibyte.com.cn/jishu-jiejue-fangan/sast/
是否商用:是
鑒釋的靜態代碼分析解決方案旨在助力軟件開發人員迅速、準確識別代碼錯誤,并及時進行修復。借助鑒釋的靜態掃描工具,您可以放心創建符合標準并且準確、優質的軟件。
72.鴻漸
官方網站:http://www.redrocket.cn/
是否商用:是
鴻漸源代碼靜態檢測工具(簡稱鴻漸SAST)是基于北大和中科院等高校優秀畢業生多年的研究成果,應用多種國際先進代碼分析、深度學習技術,研發的源代碼檢測工具,面向組織的源代碼檢測需求,在不改變組織現有開發、測試流程的前提下,與源代碼管理系統(Git、SVN等)、缺陷管理系統(如Jira、Bugzilla、禪道等)、 持續集成工具(如Jenkins、禪道)無縫對接,將源代碼檢測融入企業的研發流程,實現了源代碼編碼規則檢測、運行時缺陷檢測、安全漏洞檢測、度量統計、克隆檢測、編譯不通過檢測逆向架構圖自動生成,并提供了檢測器自主研發接口等功能,幫助組織快速構建源代碼安全自主檢測體系和能力。
73.Pinpoint
官方網站:https://www.sourcebrella.com/pinpoint/
是否商用:是
源傘科技Pinpoint 源傘科技2016年由香港科大團隊創立,立足于國際水平的學術研究積累, 秉承工匠精神,致力用最先進的自動程序分析技術保障軟件質量,為企業提供以人工智能為基礎的工業級程序缺陷自動挖掘技術,工具和解決方案。核心產品Pinpoint可無縫接入到軟件開發人員和測試人員的現有工作流程中,全面自動分析和管理程序源碼中數百種常見的高危程序缺陷,并清晰的展示缺陷觸發的原因。由于具備人工智能軟件邏輯推理能力,Pinpoint的檢測準確度和缺陷發現能力均居于世界領先水平。
74.CodeSense Pro
官方網站:http://www.ubisectech.com/other7.html
是否商用:是
CodeSense Pro是新一代的軟件源代碼缺陷分析平臺。經過清華大學與國防科技大學的專家團隊對代碼靜態分析技術的深度理論研究,結合軟件工程實踐研發而成。CodeSense Pro使用了控制流分析、數據流分析、上下文敏感分析、對象敏感分析、跨程序分析和跨文件分析等多種國內外先進技術,能夠精準的檢測軟件安全漏洞與質量缺陷,支持多種編程語言,具有強大的檢測規則擴展能力,支持多種開發環境與國產化平臺。
75.Svace
官方網站:https://www.ispras.ru/en/technologies/svace/
是否商用:是
Svace在安全開發生命周期內查找生產中的關鍵程序錯誤問題。
76.Dawnscanner
官方網站:https://dawnscanner.org/
是否商用:是
Dawnscanner是一個靜態分析安全掃描器,用于分析Ruby編寫的Web應用程序。它支持sinatra、Padino和Ruby on Rails框架。
參考
https://github.com/analysis-tools-dev/static-analysis
https://owasp.org/www-community/Source_Code_Analysis_Tools
https://www.softwaretestinghelp.com/tools/top-40-static-code-analysis-tools
https://github.com/topics/program-analysis
https://bbs.huaweicloud.com/blogs/198248
DevSecOps 代碼檢查 CodeCheck 通用安全
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
