写点什么

7 个顶级静态代码分析工具

  • 2021-02-19
  • 本文字数:2416 字

    阅读完需:约 8 分钟

7个顶级静态代码分析工具

静态代码分析或源代码分析是指使用静态代码分析工具对软件的“静态”(不运行的) 代码进行分析的一种方法,找出代码中潜在的漏洞。静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。

为什么要进行静态代码分析?


  • 在执行代码之前获取代码洞见;

  • 与动态分析相比,执行速度更快;

  • 可以对代码质量维护进行自动化;

  • 在早期阶段 (尽管不是所有阶段) 可以自动检索 bug;

  • 在早期阶段可以自动发现安全问题;

  • 如果你在使用带有静态分析器的 IDE(例如遵循 PEP8 的 Pycharm),那你已经在“船”上了。


在知道了什么是静态代码分析之后,接下来就有必要了解一下市场上有哪些好用的静态代码分析工具。废话不多说,让我们来看看现在比较流行的静态代码分析工具。

DeepSource


DeepSource 可以帮你在代码评审期间自动发现并修复代码中的问题。它可以与 Bitbucket、GitHub 或 GitLab 帐户集成。这个工具可以找出反模式、bug 风险、性能问题。DeepSource 还会生成并跟踪各种指标(例如依赖项计数、文档覆盖率等)。分析器先发现文件级别的问题 (如在特定位置发现反模式),并进一步发现代码库级别的问题 (如发现有些依赖项没有安装)。DeepSource Autofix 会为检测到的问题提出修复建议,并创建一个修复的拉取请求。


https://deepsource.io


关键特性


  • 单个文件配置;

  • 对拉取请求进行质量检查;问题频谱;

  • 维护活跃度分析器;

  • 可以详细了解每一个问题;

  • 跟踪代码指标;

  • 定制分析,可以忽略掉一些问题;

  • 分析器可以为经常发生的问题提出修复建议,如果允许的话,它们还可以创建修复过的拉取请求;

  • 对每个代码提交和拉取请求进行 Black、YAPF、Go fmt 等代码格式化。不需要进行 CI 设置。


缺点


不支持 PHP。


支持的语言


Python、JavaScript、Go、Ruby、Java、Docker、SQL、Terraform、Shell,以及 TestIdentify 和修复 bug 风险、提交代码中的反模式、性能问题和安全缺陷。


定价


开源项目、学生和非营利组织可以免费使用。付费用户从 12 美元 / 月起算。

SonarQube


SonarQube 是一种很流行的静态分析工具,用于持续检查代码库的代码质量和安全性,并在代码评审期间指导开发团队。SonarQube 可与 CI/CD 集成,进行自动化代码检查。它还提供了质量管理工具帮你主动纠正错误:IDE 集成、Jenkins 集成和代码评审工具。


https://www.sonarqube.org


关键特性


  • 多语言支持;

  • 安全性分析;

  • 发布质量代码;

  • 可维护性;

  • 可以识别蹊跷的问题。


缺点


  • 并不是每个 IDE 都支持 SonarQube;

  • 不能选择忽略团队不需要去修复的问题。


支持的语言


25 种以上的编程语言,包括 Java、C#、JavaScript、TypeScript、C/C++、COBOL 及其他。


定价


社区版是免费和开源的。商业版起步价为 120 欧元。

Codacy


Codacy()是一个静态分析工具,可以帮助开发人员处理技术债务并提高代码质量。Codacy 监控每一次代码提交和 PR 的代码质量。你可以用它来加强代码质量标准,加强安全实践,并节省代码评审时间。


https://www.codacy.com


关键特性


  • 代码评审自动化;

  • 代码质量分析;

  • 安全代码分析;

  • 集群安装 / 多个实例。


缺点


  • 缺乏与其他 SaaS 服务集成 (Sonatype、Blackduck、AWS API 网关的 API QOS 指标或 UI/E2E SaaS 测试服务) 的能力;

  • 无法加密项目信息或限制对源代码的访问;

  • 社区相对较小。


支持的语言


30 多种语言,包括 Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript 等等。


定价


对开源免费,付费用户起步价为 15 美元 / 月。

DeepScan


DeepScan 是一个支持 JavaScript、TypeScript、React 和 Vue.js 的静态分析工具。你可以使用 DeepScan 来查找部分运行时错误和质量问题,而不只是编码风格问题。将 DeepScan 与你的 GitHub 代码库集成起来,以此来发现项目的质量问题。


https://deepscan.io


关键特性


  • 缺陷跟踪;

  • 自动化构建;

  • 代码评审;

  • 协作;

  • 持续集成。


缺点


有限的语言支持。


支持的语言


JavaScript、TypeScript、React 和 Vue.js。


定价


对开源免费,付费用户起步价为 9 美元 / 月。

Embold


Embold 是一个通用的静态分析器,可以帮助开发人员在关键代码问题成为障碍之前把它们找出来。它是一个有效诊断、转换和维护应用程序的得力工具。它集成了人工智能和机器学习技术,可以找出一级问题,提供最佳解决方案,并在必要时重构应用程序。你可以在已有的 DevOps 技术栈中使用它,可以在内部使用,也可以在私有云和公共云中使用它。


https://embold.io


关键特性


  • 直观的 UI;

  • 更深入和更快的代码检查;

  • 智能地提高性能;

  • 无缝集成。


缺点


价格相对较高。


支持的语言


Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL。


定价


对开源免费,付费用户每月 10 欧元。

Veracode


Veracode 是一种流行的静态代码分析工具。它只针对安全问题,跨管道执行代码检查,以便发现安全漏洞,并将 IDE 扫描、管道扫描和策略扫描作为其服务的一部分。它会创建用于审计的代码评估,作为程序的一部分。


https://www.veracode.com/products/binary-static-analysis-sast


关键特性


  • 编码时的安全性问题反馈;

  • 在管道中快速获得结果;

  • 令人满意的审计能力;

  • 不需要调整就可以获得高精确度;

  • 专注于修复问题。


缺点


  • 不支持自定义扫描规则;

  • 用户体验不是很好。


支持的语言


Java、.Net、JavaScript、Scala、Python、PHP、Ruby on Rails、ColdFusion、Swift、C/C++、COBOL、Visual Basic 6、RPG,等等。


定价


基于项目的规模定价,你可以在官网上提交表单来获取报价。

Reshift


Reshift 是一个基于 SaaS 的软件平台,它无缝地集成到软件开发工作流中,让企业可以持续地部署安全的软件产品,而不会减慢它们的速度。Reshift 减少了查找和修复漏洞、识别数据泄露的潜在风险以及帮助软件公司实现合规性和法规要求的成本和时间。


https://www.reshiftsecurity.com


关键特性


  • 快速配置;

  • 安全性扫描;

  • 安全性职责。


缺点


不支持 Java 以外的语言。


支持的语言


Java


定价


对开源免费,付费用户起步价是每月 99 美元。


原文链接:


https://dzone.com/articles/top-7-static-code-analysis-tools

2021-02-19 09:0142956

评论 1 条评论

发布
用户头像
腾讯的Xcheck可以了解一下,能力极强!
2021-10-22 23:50
回复
没有更多了
发现更多内容

termius使用ssh教程 【XShell的神器Termius】

南屿

SSH Termius

详述 IntelliJ IDEA 中自动生成 serialVersionUID 的方法

南屿

IntelliJ IDEA IntelliJ IDEA 2023破解 Serializable

Tugraph Analytics图计算快速上手之紧密中心度算法

TuGraphAnalytics

cc 图计算 紧密中心度

优化Java代码效率和算法设计,提升性能

互联网工科生

Java 并发编程 性能测试 数据结构和算法

Python程序设计实例 | 学生管理数据库系统的开发

TiAmo

Python sqlite 数据库

程序编译运行时,提示找不到某些组件

矩视智能

机器视觉

百度智能云引领建设智能云标准生态,第十二届云计算标准和应用大会成功召开

Baidu AICLOUD

智能云 大模型 AI 原生云

未来AI领域的颠覆性力量

百度开发者中心

自然语言 #人工智能 文心一言

公司需要同步大量数据,如何缓解传输压力提高同步效率?

镭速

数据同步 数据同步工具 数据实时同步

《可观测性成熟度模型白皮书》正式发布,龙蜥致力打造更好用户体验

OpenAnolis小助手

开源 云原生 可观测性 白皮书 龙蜥社区

3步体验在DAYU200开发板上完成OpenHarmony对接华为云IoT

华为云开发者联盟

鸿蒙 物联网 华为云 华为云开发者联盟 企业号9月PK榜

2023年8款最佳云数据库综合比较

Geek_cbbf33

HarmonyOS Codelab样例—弹窗基本使用

HarmonyOS开发者

HarmonyOS

OpenHarmony Meetup常州站招募令

OpenHarmony开发者

OpenHarmony

强大但并非万能,智能客服之挑战

百度开发者中心

智能客服 #人工智能 千帆大模型平台

什么是高匿代理,与普匿和透明代理的区别是什么?它有什么作用?

巨量HTTP

代理IP http代理

一文告诉你为什么时序场景下 TDengine 数据订阅比 Kafka 好

TDengine

时序数据库 #TDengine

CodeArts Check代码检查服务用户声音反馈集锦(3)

云计算 代码质量 华为云 代码检查

面对IT部门和业务部门跨网文件交换的不同需求,怎样才能兼顾呢?

镭速

跨网文件交换

OpenHarmony AI框架开发指导

OpenHarmony开发者

OpenHarmony

实时云渲染,元宇宙核心支持技术之一

3DCAT实时渲染

元宇宙 实时云渲染

基于异常上线场景的实时拦截与问题分发策略

百度Geek说

大数据 实时计算 企业号9月PK榜 反混淆

Markdown文本编辑器Typora Mac使用教程

南屿

Typora Markdown 编辑器

7个顶级静态代码分析工具_语言 & 开发_Saif Sadiq_InfoQ精选文章