静态代码分析工具清单:公司篇

本能源由 伯乐在线
Juliesand 整理

简介

本文是1个静态代码分析工具的清单,不过为商行产品,必要付费使用。共有3八个公司,有个别商行包括四个工具。在那之中二八个铺面有多语言工具,二个同盟社为.NET工具、一个协作社为Ada工具、5个商行为C++工具、2个卖家为Java工具、二个集团为PHP工具、一个公司为PL/SQL工具。

1 多语言

1.1 Axivion Bauhaus Suite

软件腐蚀珍重消除方案。Axivion Bauhaus
Suite为你提供广泛的工具完毕机关静态代码分析。它帮衬软件系统开发者确定保证他们创设的代码是高品质的,且易于长时间维护,从而积极防患潜在的软件腐蚀。大家的组件针对编制程序语言C/C++,C#/.NET,Java和Ada83/艾达九五展开优化,能够在正式平台Microsoft
Windows和GNU/Linux上应用。

Axivion Bauhaus Suite无缝集成到您熟习的支出环境(比如微软的Visual
Studio)、编写翻译器(例如IAKuga嵌入式工作台)和版本控制系统(例如Subversion)中。

再正是能够成功各样分析,例如静态代码分析、结构验证,接口分析,MISRA检查(The
Motor Industry Software Reliability
Association-小车工业软件可相信性联会,1种工业标准的C编制程序规范)和仿制检查实验等。

图片 1

1.2 BlueOptima

BlueOptima精确的监视软件开发,提供及时的观点,能够使得更加高品质的批发版本,更加快的进入市镇。

BlueOptima对于开发者就好像X射线透视能力。

  • 当自身的一举一动影响团队中别的人大概当他俩的代码影响小编时,主动报警提醒小编举办本人校正。
  • 从自小编过去交由的代码中读书,协助自身进步。
  • 精晓自身传入代码库中晋升前方障碍的编制程序工作。

BlueOptima最棒的地点是自动化追踪进度,即相对于本人的预估和工作量作者今后的展开如何。全体那几个不必要给小编的团组织总管依然项目老董提供3个意况更新。

图片 2

1.3 CAST Application Intelligence Platform

CAST智能应用平台(AIP)是叁个超过20年在支付上投资超过壹叁亿的产物,是二个公司级的软件度量和质量分析消除方案。用于分析十二线程、多效益应用的技巧漏洞,坚定不移架构和代码标准,通过各样仪表盘提供购销连锁音信给IT组织,搭建思量到最后用户的产品。

运用分析仪表盘(CAST
AAD):为IT老总提供精确的生意连锁分析,以便驱动他们的团伙单位。

应用工程仪表盘(CAST
AED):为工程师和QA团队提供有力的代码、系统级的结构性缺陷洞察和补救指南。

启示:向开发者传递一个对他们利用结构的强硬的深浅了然。

架构检查器:给架构师1个可信的电动消除方案,迫使架构提供他们第二应用程序的平静和天性。

CAST潜在的系统层分析技术通过衡量多量的正规因素评估二个利用的常规,同时事评论估导致品质和平稳难点的组织和系统层缺陷,并提供真实系统层分析。

图片 3

1.4 Cigital SecureAssist

Cigital未来是新Cisco学和技术(Synopsys)的一有些,能够提供市场上软件安全化解方案最健全的产品组合。大家跨越守旧的测试服务,能够扶持大家的客户识别、修复和防护应用程序中的漏洞,拉动他们的作业。对于应用程序安全,大家完善的延安选拔措施能够在受软禁的正式服务和知足特需的出品定制之间维持平衡。当测试截止时我们也不会告壹段落。大家的大家也会提供修复指点、程序设计服务和磨练,使你营造和维护应用程序的雅安。

图片 4

1.5 Coder Gears

本段介绍集团的五个产品。他们的功用相似,都提供大量的职能让用户分析代码库,平常被描述为开发者的瑞士联邦军刀。1四天试用。

图片 5

Cppdepend

图片 6

JArchitect

图片 7

1.6 Compuware Topaz for Program Analysis

康博软件(Compuware)让世界上最大的局部商厦擅长数字经济,通过影响它们高价值的大型主机投资。大家经过提供莫斯中国科学技术大学学立异的消除方案完毕那么些,即只让抱有主流技术的IT专家管理主机应用、数据和平台操作。

Topaz for Program
Analysis智能分析大型主机程序,以视觉上直观的不二诀窍体现分析结果。使用程序结构和逻辑流程图表,程序分析下落了那多少个不领会大型主机或面生程序结构的程序员的求学曲线。同时对未有记录的早已存在20、30居然40年的先后提供了无价的视角。

图片 8

1.7 ConQAT

ConQAT是2个飞速支付和实践软件品质分析的工具箱。

功能:

  • 集成软件系统三种可视化品质特点;
  • 合龙品质意况的急忙预览质量标准;
  • 灵活成立特定类型的身分仪表板;
  • 协理种种编程语言(例如:Java、C#、C++、ABAP、ADA等);
  • 合龙第三方分析工具(例如:PMD、Findbugs,FxCop等);
  • 仿造检测(检查测试由于复制粘贴程序造成的重新代码);
  • 结构一致性分析(评估符合架构约束);
  • 合并到编写翻译系统/延续集成工具集的命令行接口(例如:赫德森、CruiseControl);
  • 趋势分析以便监测随着时间推移的质量情状。

图片 9

1.8 Fortify Static Code Analyzer

Fortify Static Code
Analyzer在软件开产生命周期的最初识别源代码中的安全漏洞,并提供最好做法,使开发人士能够更安全的编码。

HPE(休利特 Packard Enterprise)保障Fortify
SCA扮演叁个首要的剧中人物,开销较小的鼎力和岁月识别漏洞,帮助创建平安的软件,维护代码质量。Fortify
SCA检测广泛的题材,是别的静态测试技术无法比拟的。Fortify软件安全斟酌小组是二个大地的团组织,被工产业界认为是极品的安全团队,监测出现的威慑,他们的学识汇总到Fortify
SCA,由此组织得以逗留在要挟顶层。

图片 10

1.9 GrammaTech CodeSonar

30天试用。

CodeSonar,GrammaTech公司的王牌静态分析SAST工具,识别那个只怕导致系统崩溃的失实、意外行为和安全漏洞。

CodeSonar被验证方可提供最深层的静态分析,能够寻找比市面上别的的静态分析工具愈多的第3缺陷。Code
Sonar完毕了最棒的多少个静态分析工具基准,寻找静态内部存款和储蓄器、能源管理、并发性和其余缺陷。

由此分析源代码和2进制包,CodeSonar使团队可以分析完整的应用程序,使您能够决定你的代码供应链,从而在程序支付生命周期早期移除费用最高的最难找的老毛病。

图片 11

1.10 IBM Security AppScan

IBM Security
AppS惨增强网址选用和移动应用的平安,提高利用安全程序管理,抓实合规性。通过在应用前扫描你的网址和移动使用,AppScan使你可以辨认安全漏洞并爆发报告和修复提议。

图片 12

1.11 Imagix 4D

使用Imagix
四D,软件开发者有二个工具得以用来精晓、记录和增加复杂度、第贰方恐怕遗留的源代码。自动分析控制流和依靠。检验数据应用和天职交互中的难点。提升生产率、提升品质和滑降危机。适用于C,C++和Java开发者。

最首要功效为:

源代码分析:逆向工程和可视化软件能够调高对源代码的精通。加快学习不了解的代码、变更影响分析、集成开源代码、代码重复使用和保卫安全已停产的软件。

静态分析和指标:品质检查识别变量使用、职分交互成效和并发性中的难题。
软件指标支持评估代码品质。提升实时代风尚的查对、代码审查的预备工作、评估第三方代码的和追踪开发进度。

Delta分析:图表和告诉显示源代码版本和支行之间的结构差异。那么些使对软件更改的辨析变得有意义。专注于测试用例开发、更改影响审查、软件定制和类别管理。

自动化文献编辑撰写:软件文书档案的产生和图片的导出包蕴合并建立模型图表以担保精确性、实时性,以及信息设计文本。支持同行代码审查、传送设计文书档案、难点和震慑报告,以及软件归档。

图片 13

 

1.12 JetBrains

跨越15年,JetBrains努力成为地球上最强最急迅的开发职职员和工人具。通过机关例行检查和查对,大家的工具加速生产,使开发人士无阻挡的成才、探索和创立。

JetBrains有不少工具,本文介绍3个。

图片 14

IntelliJIDEA(Java)

英特尔liJIDEA分析你的代码,寻找遍及全体品类文件和言语的号子间的涉嫌。它利用那些新闻提供深远的编码帮忙、快捷导航、精晓的基值误差分析和重构。

AMDliJIDEA的各种部分都思量了人机工程学。AMDliJIDEA建立在贰个规范上,即开发者费用在工作流上的每分钟都被很好的使用,任何在工作流中梗阻开发者的政工都是不佳的,应该被防止。

为了精简你的工作流,AMDliJIDEA从1初始就提供了1个无与伦比的工具集:逆编写翻译程序、字节码查看器、FTP和更多工具。

除去Java,英特尔liJIDEA为高级JVM以及非JVM框架和开箱即用语言提供了第一级的扶助。

图片 15

 

PyCharm(Python)

试用30天。

Python提供智能代码实现提醒、代码检查、即时不当卓绝展现和高速修复、自动代码重构和增进的领航成效。

图片 16

 

1.13 Kiuwan

一伍天试用,须要邮箱注册。

大家提供3个端对端的软件分析平台取得你的成立数据,因而你能够根据价值、工作量、活跃度、品质、可维护性、功效和平运动用正视做出明智的支配。大家使困难的选项变得更易于,那表示资金下跌、危机减轻、客观衡量、软件技术安全评释和外中国包装技术组织议管理,仅列出多少个阳台带来的大概。

作者们帮助种种行使技术,涵盖超越20种编制程序语言。当公司工业化软件开爆发命周期时,当他俩想要爱护自身的使用不受网络胁迫,尽或者遵从有关IT框架和专行业内部的装有服务水平协议(ServiceLevel Agreement)时,大家的平台是最主要的。

图片 17

 

1.14 LDRA Testbed

30天试用。

LDRA工具套件的为主是LDRA
Testbed,它为主机和嵌入式软件分析提供静态和动态解析中央引擎。TBvision是LDRA
Testbed的交互式环境,让你不难的可视化坚守的编码标准和质标,飞速的处理在源代码层识别出来的荒唐。在平安苛求、安全临界和首要性业务应用程序方面有所40时期码分析的经历,LDRA
Testbed和TBvison提供对你的软件开发项目根本的亲信。

图片 18

 

1.15 MALPAS

MALPAS是社会风气上最严刻初始进的软件分析和表明工具集,能够用来全部各类编程语言,自动翻译那一个使用大规模的语言写出的顺序,例如C、艾达和各样汇编语言。

图片 19

 

1.16 Parasoft

始创于19八七年,Parasoft研发软件化解方案,有效的帮衬公司发行无缺陷的软件。通过购并开发测试,API测试和劳动可视化,大家减弱了时光、工作量和发行安全开支、可信包容的软件。Parasoft公司和嵌入式开发消除方案包涵静态分析、单元测试、覆盖率测试、必要追踪、效用和负载测试、开发/测试环境管理等等,是产业界最周到的。

图片 20

Parasoft的产品:

 

1.17 PRQA

QA静态分析器包含QA-C、QA-C++和QA-J,评估软件可相信性、安全性、符合ISO编码最棒实践,同时下降开发时间。

按比例排列数百万行代码;

连年度检审查源代码是或不是合乎您挑选的编码标准;

给您的开发职员实时的上下文语境反馈,支持他们改正错误并从中学习;

下落由人工代码审查和悠悠的剖析工具和方法导致的瓶颈难点;

剖析你的源代码而不需求实施顺序,无论是在C,C++或Java中。

图片 21

 

1.18 PVS-Studio

PVS-Studio是三个用来C,C++和
C#源代码程序的错误检查实验工具。能够在Windows和Linux环境下工作。

PVS-Studio完毕静态代码分析,发生三个报告援助程序员寻找和修复错误。PVS-Studio执行代码检查的界定很广,还是能寻找印刷错误和复制粘贴错误。

图片 22

 

1.19 Rogue Wave

Rogue
Wave工具横跨40年,提供从云端服务到本地平台运用,再到便携式软件库的漫天。他们都有二个齐声的绝无仅有的目标:使它不难编写、测试和平运动作复杂的代码。

图片 23

Klocwork

能够试用,须求发送音讯。

在程序生成前尽快找到标题,意味着从此越来越少的测试和较少影响资金和进度。它会继续不断集成,只有Klocwork援助流行的CI(Continuous
Integration)工具,执行分析提交时期的渐进式代码变化,跟上快捷的发表周期。Klocwork在付给此前、提交时期和提交现在识别开发者眼中的机要安全性、可信性和代码标准难题。

OpenLogic

扫描源代码和贰进制文件,确认开源代码和授权,管理开源政策和审查批准,报告安全漏洞,以及提供开源技术扶助。

 

1.20 Semmle

Semmle有五个产品:Engineering Analytics和Code Exploration。

图片 24

Engineering Analytics

浅析代码行为,而不是代码。基于全新的编制程序语言、数据库搜索和多少正确,Semmle使软件工程师团队从她们创建的代码中获取有价值的新闻。这么些意见扶助软件领导做出由数量驱动的决定,进步软件提交、协会提升和频率。

代码即数据。软件囤积库的代码更改历史足以充足表达你的团组织开发的软件什么。Semmle提供特种的力量将您的代码转换为一个知识库,它可以被追究并为你提供有关集体育工作作如何的上报。

Code Exploration

Semmle
QL是2个注明式的面向对象的查询语言。它是当代数码记录的变体,对于这个想有Infiniti的能力去打听他们代码的难题的人是不错的,并经过询问QL将付出团队新闻和她们想要的数据库格局交换起来。

多少个应用Semmle QL的例证包蕴:

  • 查找安全漏洞的享有实例。
  • 检查API是或不是采纳正确。
  • 寻找钦赐库的使用——它在何地被哪个人利用。
  • 报告标准,例如代码的行或测试方法的多少等。
  • 姣好别的其余搜索或你能设想到的解析。

 

1.21 SideCI

试用14天。

经过活动代码分析升高组织的生产率,可用于Ruby,Python,PHP,JavaScript,CoffeeScript和Go。

杀鸡取蛋2个开发难题:

  • 代码审查占用太多时间。
  • 复核由于工程师间技能差别而出现的不1致。
  • 编码标准不联合,下落了代码的可读性。

图片 25

 

1.22 SLAM project

SLAM是四个微软商量院的花色,检查软件是还是不是满意它所利用的接口关键行为性质,帮忙软件工程师设计接口和软件并保管其保障和不利运营。静态驱动程序检查器是八个Windows
驱动程序开发工具包中的工具,使用SLAM验证引擎。

图片 26

 

1.23 Sonargraph

包罗原来的Sotograph &
Sotoarc,未来正值将它的共处客户转换到Sonargraph,相当慢将在更现代的多职能平台上支撑那些制品的有着主要功效。

Sonargraph是二个强有力的静态代码分析器,允许你监视3个软件系统的技艺品质,在支付进程的享有阶段强制执行关于软件架构、标准和任哪个地点方的条条框框。Sonargraph平台支撑Java、C#、和C/C++,拥有强大的效果,例如基于脚本引擎的Groovy和讲述软件框架结构的DSL(domain
specific language)。

图片 27

 

1.24 SQUORE

能够试用,必要填写音讯。

Squoring技术尤其用来软件和系统开发项目标评估和监测。SQUORE决策控制面板提升IT项目标成色和总体性,它用于全部在资金和巴中方面软件起着核心功能的行当,例如:航空、航天、汽车、铁路、国防、财富、通讯、新闻连串。

图片 28

 

1.25 Synopsys

Coverity

能够试用。

静态代码分析在源代码中寻找缺陷和安全漏洞,不过不须求周转代码。亦称SAST(Static
Application Security
Testing)。用于抓实广大行业的软件质量和安全,比如物联网自动化、小车工业、医疗、集团、云、移动通讯、社交、共享经济、分析工具和要害作业的软件开产生命周期。

支撑的言语有安卓安全、C++、Objective-C、C#、Java,JavaScript,PHP、Python、
Node.js、Ruby。

图片 29

Goanna

二个C/C++的软件分析工具,已经是Synopsys的1局部。

 

Protecode

能够试用。

Protecode是3个自动软件成分分析工具,使机构得以检查开源软件的合规性、第①方代码中的漏洞、达成管理开源代码。

图片 30

 

1.26 Understand

行使强劲的可视化和规则掌握来保险文件记录不足的残留代码。

静态代码分析的“瑞士联邦军刀”。可视化源代码结构,优化软件设计。

Understand将八个精锐的代码编辑器和一名目繁多令人印象深入的静态分析工具结合在1起,将改变您编写代码的方法。

图片 31

 

1.27 Veracode

随着我们的自动化、进程和进程的联合,Veracode将应用程序安全无缝集成到软件开发,在费用最低的时候使得的删减开发/安排链中的漏洞。不要求卓殊的职员或设施,维拉code使用户赶快的进步,在第3天看到结果,表明价值,并随着岁月的推移不断升高。

它是进度、技术和白山大家的独特组合,帮助3个金融服务机构缩放它的先后超越600%,漏洞的修补开销下跌4分之三,收缩五分三全体漏洞,全部投资回报率为1玖贰%。

图片 32

 

2 .NET

2.1 CodeRush

摩登的Roslyn第3方控件CodeRush使用极少的内部存储器,工作越来越快,让你运行Visual
Studio越来越快。它影响Visual
Studio消除方案分析数据,那象征它不再分析消除方案,也不再保留复制的化解方案源代码树。它会活动协理新C#和VB语言功效,当它们能够在Visual
Studio中采纳时。使用CodeRush你将赢得越来越快更简短的花费经历,节省数十秒的消除方案下载时间,释放数百兆字节的内部存款和储蓄器。

图片 33

 

2.2 NDepend

试用14天

NDepend仅仅是Visual
Studio的恢宏,能够告诉开发者在过去1钟头中,刚刚写出的代码引进的债务,如果价值310分钟,它将必须在随后偿还。知道那或多或少,开发者甚至能够在付出到源代码控件在此之前修复代码。

NDepend的代码规则是C#
LINQ查询指令,能够在几分钟后创建和定制。那些查询指令控制C#公式总括标准的技艺债务预计。

暗许的条条框框集提供超越100种编码规则,检验大范围的代码异味,包蕴混乱的代码、死码、API的破坏性改变和不好的面向对象使用。

图片 34

 

3 Ada

3.1 AdaCore

AdaCore创立于19九伍年,是Ada语言商业软件化解方案的一等供应商,是初始进的程序语言,设计为大型持久的施用,安全、保证和可信性至关心爱戴要。AdaCore的金牌产品是GN血红蛋白酸ro 开发条件,带有专家线上协理,并可以用在比艾达技术越多的平台上。

图片 35

CodePeer

CodePeer是一个Ada源代码分析器,检验运营时不当和逻辑错误。它在程序运维前评估潜在的错误,作为2个活动审阅者,有效的支援人们在开发生命周期早期寻找错误。

图片 36

 

SPARK Toolset

SPA科雷傲K
Pro是3个总结静态分析工具套件,通过专业方法求证高度完整性的软件。它支持SPA奥迪Q5K
201四语言,提供紧凑集成到GNAT程序设计(GPS)和GNATbench集成开发条件的高级验证工具。

图片 37

 

4 C,C++

4.1 Astree

30天试用

Astree是三个静态程序分析器,注脚在用C语言写的或生成为C语言的严重性安全应用程序中不设有运作时不当和低效的面世界银行为。

Astree重要针对嵌入式应用,用于航天、地面运输、医械、核财富和宇宙航空。然则,它也足以用来分析任何组织的C程序,手写的或变更的,使用复杂的内部存款和储蓄器用法、动态内部存储器分配和递归。

图片 38

 

4.2 ÉCLAIR

ÉCLAIQashqai被规划为支持开发和材质担保集体意识到品质,以及帮衬质量控制团队评估成果。

ÉCLAI中华V是三个通用的软件验证平台。应用范围从编码规则验证到自动发出测试用例,再到表明不存在运作时不当或发生反例,以及基于语法和语义条件的代码相配器和重写器规范。

图片 39

 

4.3 PC-Lint

PC-lint和FlexeLint是兵不血刃的静态分析工具,它将检查你的C/C++源代码,寻找错误、小故障、不一致、不可移植的布局、冗余的代码等等。它看起来遍及多少个模块,因而,具有你的编写翻译器没有的看法。

图片 40

 

4.4 Polyspace

利用Polyspace的静态分析产品检查测试和认证您的源代码中不设有运作时不当。是三个可用来工作流中随心所欲阶段的缓解方案。使用Polyspace
Bug Finder定位缺陷和散落,在支付进程早期修复错误。使用Polyspace Code
Prover申明C和C++源代码中不设有运作时不当。

图片 41

 

5 Java

5.1 ThreadSafe

在官网填写有关新闻,能够试用1四天。

ThreadSafe是3个静态分析工具,它寻找Java程序中的并发性错误和暧昧的特性难点。

ThreadSafe分析能够在两种不相同的软件包中使用,以便适合您的条件:

  • Eclipse
    插件:在合龙开发环境中展现问题,这是检察和修复错误最简单的地点。
  • SonarQube插件:为你的团体提供ThreadSafe结果共享的观点。
  • Command Line:创立难点和源代码交叉引用的HTML报告。

图片 42

 

6 PHP

6.1 RIPS

对此相当重要由PHP编制程序语言写的采取来说,CR-VIPS是一个高等的安全软件。它自动检查评定PHP代码中的安全漏洞,到近期甘休未有别的软件可以分辨。详细的修补程序介绍允许最小化声誉和数量危险,不要求专业的文化。通过中华VIPS自动化分析和不当警报最小化的点子,它达成了大开间节约时间和资金财产。

图片 43

 

7 PL/SQL

7.1 TOAD

TOAD选择积极主动的不二法门达成多少管理。使您的团组织聚焦在更加多战略计划,使你的工作朝向今后的数量驱动经济腾飞。

透过使数码正式人士落实流程自动化,风险最小化,削减将近八分之四的档次交付时间线,Toad消除方案使您在数字技术上边包车型地铁投资最大化。通过降落效用低的代码对生产作用、今后的开发周期、质量和可用性的影响,从而降低新应用程序的1体化持有资金。

图片 44