静态代码分析工具清单:公司篇

本能源由 伯乐在线
Juliesand 整理

简介

本文是贰个静态代码分析工具的清单,但是为公司产品,须要付费使用。共有三几个集团,有些专营商包涵多少个工具。在那之中二7个商店有多语言工具,3个商户为.NET工具、三个商户为Ada工具、4个集团为C++工具、二个集团为Java工具、贰个铺面为PHP工具、二个铺面为PL/SQL工具。

1 多语言

1.1 Axivion Bauhaus Suite

软件腐蚀爱惜消除方案。Axivion Bauhaus
Suite为你提供广泛的工具完毕机关静态代码分析。它帮忙软件系统开发者确定保障他们成立的代码是高品质的,且易于长时间维护,从而积极防患潜在的软件腐蚀。我们的组件针对编制程序语言C/C++,C#/.NET,Java和艾达83/Ada95进展优化,可以在行业内部平台Microsoft
Windows和GNU/Linux上接纳。

Axivion Bauhaus Suite无缝集成到你熟识的开发条件(比如微软的Visual
Studio)、编写翻译器(例如IARubicon嵌入式工作台)和版本控制系统(例如Subversion)中。

还要能够做到种种分析,例如静态代码分析、结构验证,接口分析,MISRA检查(The
Motor Industry Software Reliability
Association-小车工业软件可信赖性联会,壹种工业标准的C编制程序规范)和仿制检查测试等。

图片 1

1.2 BlueOptima

BlueOptima精确的监视软件开发,提供即时的眼光,能够使得更加高品质的批发版本,更加快的进入商场。

BlueOptima对于开发者就像X射线透视能力。

  • 当自家的行为影响团队中其余人可能当她们的代码影响本身时,主动报告警察方提醒小编举办自小编革新。
  • 从笔者过去付出的代码中学习,协理本人进步。
  • 掌握自身传入代码库中唤醒前方障碍的编制程序工作。

BlueOptima最棒的地点是自动化追踪进程,即相对于自己的预估和工作量作者今后的开始展览怎么样。全部那个不必要给本身的团协会监护人依旧项目COO提供三个情况更新。

图片 2

1.3 CAST Application Intelligence Platform

CAST智能应用平台(AIP)是三个跨越20年在开发上投资超越一三亿的产物,是二个小卖部级的软件度量和品质分析消除方案。用于分析多线程、多效益采取的技艺漏洞,锲而不舍架构和代码标准,通过各样仪表盘提供买卖连锁音信给IT协会,搭建思念到最后用户的成品。

动用分析仪表盘(CAST
AAD):为IT总老板提供规范的商贸连锁分析,以便驱动他们的团队机关。

选用工程仪表盘(CAST
AED):为工程师和QA团队提供强大的代码、系统级的结构性缺陷洞察和补救指南。

启示:向开发者传递三个对他们使用结构的强大的吃水领悟。

架构检查器:给架构师二个可信赖的活动化解方案,迫使架构提供他们首要应用程序的广元久安和性格。

CAST潜在的系统层分析技术通过度量多量的平常化因素评估三个利用的例行,同时事评论估导致质量和平静难点的结构和系统层缺陷,并提供真正系统层分析。

图片 3

1.4 Cigital SecureAssist

Cigital未来是新Cisco学和技术(Synopsys)的一有个别,可以提供应市场镇上软件安全化解方案最健全的产品组合。大家跨越守旧的测试服务,能够援助我们的客户识别、修复和防止应用程序中的漏洞,推动他们的作业。对于应用程序安全,大家健全的平安使用措施能够在受软禁的正式服务和满意特需的制品定制之间保持平衡。当测试甘休时大家也不会终止。大家的学者也会提供修复辅导、程序设计服务和磨炼,使您创设和掩护应用程序的平安。

图片 4

1.5 Coder Gears

本段介绍公司的七个产品。他们的意义相似,都提供大批量的法力让用户分析代码库,常常被描述为开发者的瑞士军刀。14天试用。

图片 5

Cppdepend

图片 6

JArchitect

图片 7

1.6 Compuware Topaz for Program Analysis

康博软件(Compuware)让世界上最大的1部分同盟社擅长数字经济,通过影响它们高价值的重型主机投资。大家由此提供莫斯中国科学技术大学学创新的缓解方案形成这一个,即只让具备主流技术的IT专家管理主机应用、数据和平台操作。

Topaz for Program
Analysis智能分析大型主机程序,以视觉上直观的不二秘诀呈现分析结果。使用程序结构和逻辑流程图表,程序分析下落了那多少个不熟悉大型主机或目生程序结构的程序员的求学曲线。同时对尚未记录的已经存在20、30竟然40年的次序提供了无价的理念。

图片 8

1.7 ConQAT

ConQAT是一个急迅支付和实践软件品质分析的工具箱。

功能:

  • 合龙软件系统四种可视化品质特点;
  • 购并品质景况的迅猛预览质标;
  • 灵活创制特定类型的身分仪表板;
  • 支撑多种编制程序语言(例如:Java、C#、C++、ABAP、ADA等);
  • 集成第一方分析工具(例如:PMD、Findbugs,FxCop等);
  • 克隆检查评定(检查实验由于复制粘贴程序造成的再一次代码);
  • 布局1致性分析(评估符合架构约束);
  • 购并到编写翻译系统/延续集成工具集的下令行接口(例如:赫德森、CruiseControl);
  • 方向分析以便监测随着时间推移的质量境况。

图片 9

1.8 Fortify Static Code Analyzer

Fortify Static Code
Analyzer在软件开产生命周期的早期识别源代码中的安全漏洞,并提供最好做法,使开发职员能够更安全的编码。

HPE(休利特 Packard Enterprise)保障Fortify
SCA扮演二个关键的剧中人物,开销较小的奋力和岁月识别漏洞,帮忙成立平安的软件,维护代码质量。Fortify
SCA检查实验广泛的题材,是其余静态测试技术不或许比拟的。Fortify软件安全研讨小组是二个全世界的集团,被工产业界认为是顶级的随州团队,监测出现的勒迫,他们的知识汇总到Fortify
SCA,因而组织得以逗留在威逼顶层。

图片 10

1.9 GrammaTech CodeSonar

30天试用。

CodeSonar,GrammaTech公司的金牌静态分析SAST工具,识别这一个恐怕导致系统崩溃的错误、意外行为和安全漏洞。

CodeSonar被注解能够提供最深层的静态分析,能够寻找比市集上此外的静态分析工具越多的第叁缺陷。Code
Sonar实现了最棒的多少个静态分析工具基准,寻找静态内部存款和储蓄器、财富管理、并发性和别的缺陷。

经过分析源代码和二进制包,CodeSonar使团队能够分析完整的应用程序,使您能够操纵你的代码供应链,从而在程序支付生命周期早期移除开销最高的最难找的缺点。

图片 11

1.10 IBM Security AppScan

IBM Security
AppS惨增强网址选拔和活动接纳的安全,提升使用安全程序管理,抓好合规性。通过在接纳前扫描你的网址和活动选拔,AppScan使你能够辨别安全漏洞并产生报告和修复提出。

图片 12

1.11 Imagix 4D

利用Imagix
4D,软件开发者有三个工具得以用来理解、记录和提升复杂度、第一方大概遗留的源代码。自动分析控制流和注重性。检查实验数据利用和职分交互中的难点。升高生产率、进步品质和下跌风险。适用于C,C++和Java开发者。

要害功能为:

源代码分析:逆向工程和可视化软件能够调高对源代码的精通。加快学习不熟悉的代码、变更影响分析、集成开源代码、代码重复使用和保障已停产的软件。

静态分析和指标:品质检查识别变量使用、任务交互作用和并发性中的难点。
软件目的支持评估代码质量。进步实时代时髦的稽审、代码审查的备选干活、评估第一方代码的和追踪开发进程。

Delta分析:图表和报告呈现源代码版本和分支之间的组织差别。这一个使对软件更改的解析变得有意义。专注于测试用例开发、更改影响审查、软件定制和花色管理。

自动化文献编辑撰写:软件文书档案的发生和图纸的导出包含合并建立模型图表以保险精确性、实时性,以及音信设计文本。援救同行代码审查、传送设计文书档案、难题和影响报告,以及软件归档。

图片 13

 

1.12 JetBrains

超越壹5年,JetBrains努力成为地球上最强最火速的开发职职员和工人具。通过活动例行检查和核对,大家的工具加速生产,使开发职员无阻挡的成长、探索和开创。

JetBrains有不少工具,本文介绍二个。

图片 14

IntelliJIDEA(Java)

AMDliJIDEA分析你的代码,寻找遍及全体种类文件和语言的记号间的关联。它应用那几个新闻提供深入的编码帮衬、赶快导航、熟悉的模型误差分析和重构。

AMDliJIDEA的每种部分都考虑了人机工程学。IntelliJIDEA建立在3个条件上,即开发者开销在干活流上的每分钟都被很好的应用,任何在工作流中梗阻开发者的事情都以倒霉的,应该被制止。

为了精简你的工作流,速龙liJIDEA从1开头就提供了3个无与伦比的工具集:逆编写翻译程序、字节码查看器、FTP和更加多工具。

除了Java,IntelliJIDEA为高级JVM以及非JVM框架和开箱即用言语提供了头等的接济。

图片 15

 

PyCharm(Python)

试用30天。

Python提供智能代码达成提示、代码检查、即时不当特出呈现和快速修复、自动代码重构和添加的导航功效。

图片 16

 

1.13 Kiuwan

一三日试用,需求邮箱注册。

咱俩提供二个端对端的软件分析平台得到你的客观数据,由此你能够依照价值、工作量、活跃度、品质、可维护性、功效和动用注重做出明智的操纵。我们使困难的取舍变得更易于,那意味资金降低、风险减轻、客观度量、软件技术安全认证和外包协议管理,仅列出多少个阳台带来的或许。

大家援救多样运用技术,涵盖抢先20种编制程序语言。当集团工业化软件开发生命周期时,当她们想要敬重自身的利用不受网络威吓,尽大概遵从有关IT框架和正规内的拥有服务水平协议(ServiceLevel Agreement)时,我们的平台是重点的。

图片 17

 

1.14 LDRA Testbed

30天试用。

LDRA工具套件的为主是LDRA
Testbed,它为主机和嵌入式软件分析提供静态和动态解析主旨引擎。TBvision是LDRA
Testbed的交互式环境,让你不难的可视化遵守的编码标准和质标,连忙的处理在源代码层识别出来的不当。在安全苛求、安全临界和首要性业务应用程序方面具备40时代码分析的阅历,LDRA
Testbed和TBvison提供对你的软件开发项目根本的正视。

图片 18

 

1.15 MALPAS

MALPAS是社会风气上最严谨初阶进的软件分析和评释工具集,能够用来全部各种编制程序语言,自动翻译这一个使用大规模的语言写出的主次,例如C、Ada和各种汇编语言。

图片 19

 

1.16 Parasoft

始创于1987年,Parasoft研发软件化解方案,有效的帮助公司发行无缺陷的软件。通过集成开发测试,API测试和劳务可视化,大家收缩了光阴、工作量和发行安全开支、可信赖包容的软件。Parasoft公司和嵌入式开发消除方案包含静态分析、单元测试、覆盖率测试、需要追踪、效率和负载测试、开发/测试环境管理等等,是产业界最完美的。

图片 20

Parasoft的产品:

 

1.17 PRQA

QA静态分析器蕴含QA-C、QA-C++和QA-J,评估软件可相信性、安全性、符合ISO编码最棒实践,同时降低开发时间。

按百分比排列数百万行代码;

一连检查源代码是不是切合您挑选的编码标准;

给您的开发人员实时的上下文语境反馈,帮衬他们改正错误并从中学习;

降落由人工代码审查和减缓的解析工具和章程导致的瓶颈难题;

解析你的源代码而不供给履行顺序,无论是在C,C++或Java中。

图片 21

 

1.18 PVS-Studio

PVS-Studio是三个用以C,C++和
C#源代码程序的一无所长检查评定工具。能够在Windows和Linux环境下工作。

PVS-Studio完成静态代码分析,爆发二个告知支持程序员寻找和修补错误。PVS-Studio执行代码检查的范围很广,还足以查找印刷错误和复制粘贴错误。

图片 22

 

1.19 Rogue Wave

Rogue
Wave工具横跨40年,提供从云端服务到地头平台利用,再到便携式软件库的百分之百。他们都有一个2只的唯壹的指标:使它简单编写、测试和周转复杂的代码。

图片 23

Klocwork

可以试用,要求发送音讯。

在先后生成前尽快找到标题,意味着现在更少的测试和较少影响资金和进程。它会绵绵不绝集成,只有Klocwork协理流行的CI(Continuous
Integration)工具,执行分析提交时期的渐进式代码变化,跟上非常的慢的发布周期。Klocwork在交付此前、提交时期和交给之后识别开发者眼中的重大安全性、可信性和代码标准难点。

OpenLogic

扫描源代码和2进制文件,确认开源代码和授权,管理开源政策和审批,报告安全漏洞,以及提供开源技术辅助。

 

1.20 Semmle

Semmle有多少个产品:Engineering Analytics和Code Exploration。

图片 24

Engineering Analytics

分析代码行为,而不是代码。基于全新的编程语言、数据库搜索和数目科学,Semmle使软件工程师团队从他们创立的代码中赢得有价值的音信。这么些观点补助软件领导做出由数量驱动的操纵,升高软件提交、组织发展和功用。

代码即数据。软件囤积库的代码更改历史足以丰裕表达你的团伙开发的软件什么。Semmle提供特殊的能力将您的代码转换为2个知识库,它能够被追究并为你提供关于共青团和少先队工作怎么的汇报。

Code Exploration

Semmle
QL是1个表明式的面向对象的查询语言。它是现代数据记录的变体,对于那多少个想有Infiniti的力量去探听她们代码的题指标人是优异的,并透过了然QL将开发公司新闻和她俩想要的数据库格局联系起来。

几个使用Semmle QL的事例蕴含:

  • 检索安全漏洞的富有实例。
  • 反省API是或不是接纳科学。
  • 搜索钦赐库的利用——它在哪儿被什么人使用。
  • 告诉正式,例如代码的行或测试方法的数码等。
  • 形成别的另外搜索或你能想象到的分析。

 

1.21 SideCI

试用14天。

透过自行代码分析升高组织的生产率,可用于Ruby,Python,PHP,JavaScript,CoffeeScript和Go。

消除二个开发难点:

  • 代码审查占用太多日子。
  • 核查由于工程师间技能差别而产出的不等同。
  • 编码标准不合并,下跌了代码的可读性。

图片 25

 

1.22 SLAM project

SLAM是一个微软商量院的门类,检查软件是或不是满意它所接纳的接口关键行为性质,支持软件工程师设计接口和软件并有限支持其保证和不错运转。静态驱动程序检查器是四个Windows
驱动程序开发工具包中的工具,使用SLAM验证引擎。

图片 26

 

1.23 Sonargraph

席卷原来的Sotograph &
Sotoarc,现在正值将它的现有客户转换来Sonargraph,非常的慢将在更现代的多效益平台上支撑那一个制品的装有重大功用。

Sonargraph是三个无敌的静态代码分析器,允许你监视七个软件系统的技艺品质,在付出进程的享有阶段强制执行关于软件框架结构、标准和其他位置的条条框框。Sonargraph平台帮衬Java、C#、和C/C++,拥有强劲的成效,例如基于脚本引擎的Groovy和描述软件架构的DSL(domain
specific language)。

图片 27

 

1.24 SQUORE

可以试用,供给填写信息。

Squoring技术特别用于软件和系统开发品种的评估和监测。SQUORE决策控制面板升高IT项目标材料和属性,它用于全体在基金和安全地方软件起着核心作用的本行,例如:航空、航天、汽车、铁路、国防、财富、通讯、消息种类。

图片 28

 

1.25 Synopsys

Coverity

能够试用。

静态代码分析在源代码中摸索缺陷和安全漏洞,可是不须求周转代码。亦称SAST(Static
Application Security
Testing)。用于升高广大行当的软件质量和安全,比如物联网自动化、汽车工业、医疗、集团、云、移动通信、社交、共享经济、分析工具和第二作业的软件开产生命周期。

协理的语言有安卓安全、C++、Objective-C、C#、Java,JavaScript,PHP、Python、
Node.js、Ruby。

图片 29

Goanna

3个C/C++的软件分析工具,已经是Synopsys的一某个。

 

Protecode

可以试用。

Protecode是二个自动软件成分分析工具,使机构得以检查开源软件的合规性、第一方代码中的漏洞、实现管理开源代码。

图片 30

 

1.26 Understand

动用强劲的可视化和规则精晓来有限帮忙文件记录不足的残留代码。

静态代码分析的“瑞士联邦军刀”。可视化源代码结构,优化软件设计。

Understand将二个强大的代码编辑器和一文山会海令人影象深刻的静态分析工具结合在壹块儿,将转移你编写代码的不二秘诀。

图片 31

 

1.27 Veracode

乘机大家的自动化、进度和速度的联合,维拉code将应用程序安全无缝集成到软件开发,在花费最低的时候使得的删除开发/安插链中的漏洞。不须求卓殊的人士或设施,维拉code使用户飞速的滋长,在第2天看到结果,注明价值,并随着岁月的推迟不断进步。

它是进程、技术和安全大家的万分规组合,辅助3个金融服务机构缩放它的先后当先600%,漏洞的修复费用降低4分之3,减弱五分之三完好无损漏洞,全部投资回报率为1玖二%。

图片 32

 

2 .NET

2.1 CodeRush

新式的Roslyn第贰方控件CodeRush使用极少的内部存款和储蓄器,工作更加快,让你运维Visual
Studio更加快。它影响Visual
Studio化解方案分析数据,那意味着它不再分析化解方案,也不再保留复制的消除方案源代码树。它会活动帮忙新C#和VB语言功效,当它们得以在Visual
Studio中选拔时。使用CodeRush你将赢得更加快更简明的耗费经历,节省数十秒的缓解方案下载时间,释放数百兆字节的内部存款和储蓄器。

图片 33

 

2.2 NDepend

试用14天

NDepend仅仅是Visual
Studio的扩张,能够告知开发者在过去一钟头中,刚刚写出的代码引进的债务,假若价值二陆分钟,它将必须在之后偿还。知道这点,开发者甚至能够在付出到源代码控件此前修复代码。

NDepend的代码规则是C#
LINQ查询指令,能够在几分钟后创立和定制。那一个查询指令控制C#公式总括标准的技术债务估量。

私下认可的规则集提供超过十0种编码规则,检查评定大范围的代码异味,包罗混乱的代码、死码、API的破坏性改变和不佳的面向对象使用。

图片 34

 

3 Ada

3.1 AdaCore

AdaCore成立于1991年,是Ada语言商业软件化解方案的一流供应商,是起初进的程序语言,设计为巨型持久的运用,安全、保险和可信性至关心珍视要。AdaCore的金牌产品是GNATPro 开发条件,带有专家线上支撑,并得以用在比Ada技术更加多的阳台上。

图片 35

CodePeer

CodePeer是三个Ada源代码分析器,检查实验运行时不当和逻辑错误。它在程序运转前评估潜在的荒谬,作为1个自行审阅者,有效的支持人们在支付生命周期早期寻找错误。

图片 36

 

SPARK Toolset

SPAQX56K
Pro是二个归咎静态分析工具套件,通过规范方法求证中度完整性的软件。它帮衬SPAENCOREK
201四言语,提供紧凑集成到GNAT程序设计(GPS)和GNATbench集成开发环境的高等级验证工具。

图片 37

 

4 C,C++

4.1 Astree

30天试用

Astree是多少个静态程序分析器,注脚在用C语言写的或生成为C语言的严重性安全应用程序中不存在运作时不当和无效的出现行为。

Astree重要针对嵌入式应用,用于航天、地面运输、医械、核能源和大自然飞行。可是,它也能够用来分析任何组织的C程序,手写的或变更的,使用复杂的内部存款和储蓄器用法、动态内存分配和递归。

图片 38

 

4.2 ÉCLAIR

ÉCLAIKuga被设计为救助开发和品质担保协会发现到品质,以及支援质控团队评估成果。

ÉCLAI奥迪Q5是一个通用的软件验证平台。应用范围从编码规则验证到机关发出测试用例,再到表达不设有运作时不当或产生反例,以及依照语法和语义条件的代码相配器和重写器规范。

图片 39

 

4.3 PC-Lint

PC-lint和FlexeLint是强有力的静态分析工具,它将检查你的C/C++源代码,寻找错误、小故障、不1致、不可移植的结构、冗余的代码等等。它看起来遍及多少个模块,因而,具有你的编写翻译器未有的见识。

图片 40

 

4.4 Polyspace

接纳Polyspace的静态分析产品检查测试和认证你的源代码中不存在运作时不当。是多个可用以工作流中自由阶段的缓解方案。使用Polyspace
Bug Finder定位缺陷和分散,在支付进度早期修复错误。使用Polyspace Code
Prover表明C和C++源代码中不存在运作时不当。

图片 41

 

5 Java

5.1 ThreadSafe

在官网填写有关消息,能够试用1四天。

ThreadSafe是一个静态分析工具,它寻找Java程序中的并发性错误和秘密的性质难题。

ThreadSafe分析可以在两种不一致的软件包中使用,以便适合你的环境:

  • Eclipse
    插件:在合龙开发条件中体现难点,那是考察和修补错误最不难的地方。
  • SonarQube插件:为您的团伙提供ThreadSafe结果共享的意见。
  • Command Line:创立难题和源代码交叉引用的HTML报告。

图片 42

 

6 PHP

6.1 RIPS

对于首要由PHP编制程序语言写的施用来说,SportageIPS是三个高级的安全软件。它自动质量评定PHP代码中的安全漏洞,到如今停止未有其余软件能够识别。详细的修补程序介绍允许最小化声誉和多少危险,不必要正式的知识。通过帕杰罗IPS自动化分析和谬误警报最小化的办法,它完成了大幅度面节约时间和资金。

图片 43

 

7 PL/SQL

7.1 TOAD

TOAD采用积极主动的艺术贯彻数据管理。使你的团伙聚焦在更加多战略安顿,使您的事体朝向前些天的多寡驱动经济前行。

由此使数据标准人士落到实处流程自动化,危机最小化,削减将近二分一的品种交由时间线,Toad解决方案使你在数字技术方面包车型客车投资最大化。通过下落功效低的代码对生育效能、以后的开发周期、质量和可用性的熏陶,从而下跌新应用程序的整体持有资金。

图片 44