正文

常用静态分析工具介绍和推荐

追马博客
追马博客 V管理员 /1.25 K阅读/0评论
0410

Coverity

Coverity® 是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。

Coverity提供全面广泛的安全漏洞和质量缺陷检查规则,涵盖22种编程语言,超过70余种应用框架及常用的架构即代码(infrastructure-as-code)平台和文件格式。

集成:通过 CI、SCM、问题跟踪集成和 REST API,将 SAST 嵌入 DevOps 流水线。

自动化:开箱即可获得快速、准确的结果,无需调整。

大规模:通过 Coverity 的并行分析,信心满满地为大型应用和团队提供支持。

新思科技是全球排名第一的电子设计自动化(EDA) 解决方案提供商,全球排名第一的芯片接口IP供应商。Synopsys被Forrester Wave评为静态应用安全测试领域领导者。

官网:https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html

CppCheck

CppCheck是一个C/C++代码缺陷静态检查工具。它提供独特的代码分析来检测错误,并专注于检测未定义的行为和危险的编码结构。 CppCheck的目标是减少误报。 Cppcheck 旨在能够分析您的 C/C++ 代码,即使它具有非标准语法(在嵌入式项目中很常见)。

官网:http://cppcheck.net/

SonarLint

SonarLint 是一个免费的开源 IDE 扩展,可识别并帮助您在编写代码时解决质量和安全问题。 像拼写检查器一样,SonarLint 会显示缺陷并提供实时反馈和清晰的修复指导,以便从一开始就提供干净的代码。

使用 SonarLint,您可以选择一个解决方案来解决您的代码质量和代码安全问题。 我们为您提供了数百个独特的、特定于语言的规则,以便在您编写代码时直接在 IDE 中捕获错误、代码异味和安全漏洞。

常用静态分析工具介绍和推荐 第1张


点击语言图标可以查看各种检查规则,例如:https://rules.sonarsource.com/c

常用静态分析工具介绍和推荐 第2张



常用静态分析工具介绍和推荐 第3张


alibaba/p3c

P3C是阿里巴巴研发的《阿里巴巴 Java 代码规约》扫描插件,项目组中一半成员来自云效团队。自17年10月开源到现在,P3C在Github上Star数达12600+,Fork数2700+,插件下载量54.1w+。

当前,P3C项目包含三部分:PMD规则实现、IntelliJ IDEA 插件、Eclipse 插件,帮助开发人员在工程研发的多个阶段进行代码规约检查,降低故障率、提升编码效率和质量。

官网:https://gitee.com/mirrors_alibaba/p3c/tree/master

SpotBugs/findbugs

SpotBugs 是一个使用静态分析来查找 Java 代码中的错误的程序。 它是自由软件,根据 GNU 宽通用公共许可证的条款分发。SpotBugs 是 FindBugs(现在是一个废弃的项目)的一个分支。

SpotBugs 需要 JRE(或 JDK)1.8.0 或更高版本才能运行。 但是,它可以分析为任何 Java 版本(从 1.0 到 1.9)编译的程序。

官网:https://github.com/spotbugs/spotbughttp://findbugs.sourceforge.net/

常用静态分析工具介绍和推荐 第4张


常用静态分析工具介绍和推荐 第5张


gcovr

Gcovr 提供了一个实用程序,用于管理 GNU gcov 实用程序的使用并生成汇总的代码覆盖率结果。 此命令的灵感来自 Python coverage.py 包,它为 Python 提供了类似的实用程序。

除此以外,还有2种代码质量管理平台可以参考

sonarQube

SonarQube是一个开源的代码质量管理平台, 专用于持续集成分析和测量技术质量,从项目的组合到方法。

还有各种插件可以下载:https://www.sonarplugins.com/

常用静态分析工具介绍和推荐 第6张


官网:https://www.sonarqube.org/

参考:https://revolyw.gitbooks.io/sonarqube/content/

腾讯云代码质量分析平台Tencent Code Analysis

腾讯云代码分析(Tencent Cloud Code Analysis,简称TCA,内部曾用研发代号CodeDog)是一套代码综合分析平台,包含服务端、Web端和客户端三个组件,支持集成业界常见的代码分析工具,其主要功能是保障多工程项目敏捷迭代下的代码质量,以及支撑团队传承代码文化。

语言支持:支持 Java/C++/Objective-C/C#/JavaScript/Python/Go/PHP 等数十种语言,覆盖常用编程语言。

代码检查:通过代码分析精准跟踪管理发现的代码质量缺陷、代码规范问题、代码安全漏洞、无效代码等。目前已集成众多自研、知名开源分析工具,并采用了分层分离架构,可以支持团队快速自助管理工具。

代码度量:支持代码圈复杂度、代码重复率和代码统计三个维度对代码进行综合度量。

DevOps集成:客户端通过命令行启动方式,通过标准API接口对接上下游系统,可以快速对接各个DevOps调度体系。

如何进行私有部署请参考:腾讯云代码质量分析平台Tencent Code Analysis部署和试用

官网:https://tca.tencent.com/

GitHub链接:https://github.com/Tencent/CodeAnalysis