推荐尝试的七种静态密码分析工具来检查它是否符合既定的编码标准,然后发现各种潜在的漏洞。总的来说,静态分析可以给我们带来以下好处:在代码执行之前获得深入的洞察力与动态分析相比,静态分析可以更快地执行可以自动维护代码的质量可以在早期自动发现stage一些错误(虽然不是全部)可以在早期阶段自动发现各种安全问题。实际上,您可以使用任何带有静态分析器的IDE(例如:Pycharm使用pep8)来执行静态分析。下面我们一起来探讨一下目前市面上领先的七大静态代码分析工具:1.DeepSourceDeepSource可以帮助您在代码审查时自动发现并修复代码中的各种问题。在使用中,它可以与用户的Bitbucket、GitHub或GitLab帐户集成。该工具可以发现反模式(anti-patterns)、错误风险以及各种由性能引起的问题。同时,DeepSource还会生成并跟踪相关指标如:依赖数量、文档覆盖率等。分析器可以在文件级别运行,在特定位置查找反模式,或者在存储库级别运行,查找深层问题,例如未安装某些依赖项。此外,DeepSource的Autofix为发现的问题提供修复建议,并根据建议的更改创建拉取请求。主要特性提供单一文件配置拉取请求的质量审查涵盖广泛的问题提供主动和可维护的分析器来详细分析每个问题可追溯的代码指标可以通过自定义分析选择性地忽略某些问题这些问题可以为常见问题提供修复建议,并且ifapplicable,createapullrequestbasedonthechangesuggestion无需设置CI,可以在每次提交和拉取请求时运行代码格式化文件,如Black、YAPF、Gofmt等。缺点不支持PHP语言语言支持支持Python、JavaScript、Go、Ruby、Java、Docker、TestIdentify能够在每次提交和拉取请求中覆盖SQL、Terraform、Shell定价:DeepSource对开源组织、学生组织和由非营利组织使用。它的付费计划从每位用户每月12美元起,详情请参阅https://deepsource.io/pricing/?utm_source=dzone。2.SonarQube作为流行的静态分析工具,SonarQube可以用来持续审查代码库中的代码质量和安全性,并在代码审查过程中给予开发团队相应的指导。此外,它还可以用于通过CI/CD集成进行自动代码审查。此外,SonarQube还主动协助IDE集成、Jenkins集成、持续集成服务器,并通过提供质量管理工具确保代码查看工具的正确设置。主要特性支持多语言提供安全分析保证代码的发布质量可维护可以识别更棘手的问题缺点不是所有的IDE都能支持SonarQube不能为那些团队暂时绕过或推迟解决的问题提供忽略选项语言支持支持超过25种编程语言,包括Java、C#、JavaScript、TypeScript、C/C++和COBOL定价:SonarQube的社区版是免费开源的。其商业版许可的价格为120欧元起,详情请参阅--https://www.sonarsource.com/plans-and-pricing/。3.CodacyCodacy是一款静态分析工具,可以帮助开发者解决技术问题,提高代码质量。Codacy监控每次提交和PR(产品迭代)中的代码质量。您可以使用它来执行代码质量标准、执行安全实践并节省代码审查时间。主要特点提供代码审查自动化提供代码质量分析支持代码安全分析支持集群安装和多实例缺点缺乏与一些SaaS服务的集成,包括:Sonatype、Blackduck、AWSAPI网关的APIQOS指标,以及各种SaaS测试服务UI/E2E不能对项目的相关信息进行加密,也不能限制对UI中源代码的访问。它有一个相对较小的社区。语言支持包括Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript等30多种语言。定价:Codacy有免费的开源版本。其高级版本起价为每位用户每月15美元,详情请参阅https://www.codacy.com/pricing。4.DeepScanDeepScan是业界领先的静态分析工具。它可以方便开发人员发现运行时(runtime)中的各种错误和质量问题,而不仅仅是在编码规则层面。通过将DeepScan与目标GitHub存储库集成,您可以深入了解自己项目的产品质量。主要特点Bug跟踪自动构建代码审查协作持续集成缺点支持的编程语言有限语言支持能够支持JavaScript、TypeScript、React和Vue.js。定价:DeepScan对开源项目免费。它的付费计划从每位用户每月9美元起,详情请参阅https://deepscan.io/pricing/。5、Embold作为通用的静态分析器,不仅可以帮助开发者在产品出现之前发现和定位关键代码问题,还可以为应用提供诊断、转换和运维等服务。得益于人工智能和机器学习技术的融合,Embold可以针对通过评级机制发现的问题提出最佳解决方案,并根据需要重构应用。此外,它可以在DevOps堆栈、本地系统、私有云和公共云等技术中运行。主要特性直观的用户界面提供更深入、更快的审查增强的智能提供无缝集成缺点价格过高语言支持Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL定价:基础Embold版本是免费和开源的。其高级版的价格从每月10欧元起,详情请参见https://embold.io/pricing-cloud。6.VeracodeVeracode是一款流行的静态代码分析工具,仅针对安全问题。它在整个管道中执行代码审查,通过IDE扫描、管道扫描和策略扫描来发现安全漏洞。通过创建代码评估,可以将Veracode作为程序的一部分进行审核。主要特点在编码时提供安全反馈在流水线中提供快速运行结果满足审计人员的要求分析精度高,无需额外调优提供修复建议缺点不提供任何可定制的扫描规则UX(用户体验)语言支持不太好Java、.NET,JavaScript,Scala,Python,PHP,RubyonRails,ColdFusion,Swift,C/C++,COBOL,VisualBasic6,RPG等。定价:Embold许可定价取决于目标项目的规模。您可以通过链接获取详细报价-https://info.veracode.com/request-quote.html。7.ReshiftReshift是一个基于SaaS的软件平台。它可以无缝集成到软件开发工作流程中。项目团队可以使用它来加快交付过程并确保持续部署期间的安全性。Reshift可以减少他们查找和修复漏洞、识别数据泄露的潜在风险以及协助软件产品合规性所花费的成本和时间。主要特性可以快速设置提供安全扫描缺点除Java外不支持其他语言Java定价:Reshift的基本版本是免费和开源的。其商业版的起价为每月99美元,详情请参阅--https://www.reshiftsecurity.com/pricing/。原标题:Top7StaticCodeAnalysisTools,作者:SaifSadiq
