代码检查商用工具-汇总

举报
SamDong 发表于 2021/08/12 23:53:20 2021/08/12
【摘要】 静态分析工具的最大好处就是在软件开发流程的早期阶段发现致命的缺陷。

代码检查商用工具-汇总

概述

静态分析工具的最大好处就是在软件开发流程的早期阶段发现致命的缺陷。目前行业内正在被使用的静态代码分析工具如下:

工具

1.Coverity(Synopsys)

官方网站:https://scan.coverity.com/https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html

是否商用:是

Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。

2.Veracode

官方网站:http://www.veracode.com

Veracode静态分析为IDE和CI/CD管道中的开发人员提供快速、自动的反馈,在部署前执行完整的策略扫描,并就如何快速查找、确定优先级和修复问题提供明确的指导。

3.Checkmax

官方网站:https://checkmarx.com/

是否商用:是

Checkmarx是一家应用安全软件公司,使命是为企业组织提供应用安全测试产品和服务,帮助开发人员更快交付安全软件。该公司的1400多家客户中有5家是世界十大软件供应商,还有许多财富500强和政府机构,包括SAP、三星、百度等。 Checkmarx平台将应用安全与DevOps文化结合起来,从编码阶段一直贯穿到SDLC的应用运行测试阶段,检测并修复漏洞。Checkmarx通过将以下三层结合到一个整体解决方案中,使得开发人员能够更快地交付安全应用。 CxSAST:高度准确和灵活的源代码分析产品,能够让组织自动扫描未经编译/构建的代码,识别最流行的编码语言中的数百个安全漏洞。 CxIAST:漏洞检测运行测试中的应用的解决方案。为DevOps而打造,无缝集成到CI/CD通道中。CxIAST提供高级漏洞检测功能,对测试周期的时间无影响。 CxOSA:将开源分析作为SDLC执行的一部分,并管理开源组件,以确保易受攻击的组件在其成为问题之前被去除或替换。

4.Fortify(Micro Focus)

官方网站:https://www.microfocus.com

是否商用:是

Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描处理,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

5.Snyk

官方网站:https://snyk.io/

是否商用:是

Snyk是一款开发者优先的安全解决方案,可帮助您使用开源代码并保持安全。Snyk以其独特的漏洞数据库为基础,不断发现并修复已知漏洞和开源依赖项中的许可证违规行为。Snyk集成到开发人员工作流程中,与源代码控制(例如GitHub,BitBucket,GitLab)集成,连接到CI / CD管道,并持续监控生产中的PaaS和无服务器应用程序。

6.Data Theorem

官方网站:https://www.datatheorem.com/

是否商用:是

Data Theorem分析器引擎持续扫描移动和Web应用程序、API和云资源,以搜索安全漏洞和数据隐私问题。它在几分钟内就会显示您的易受攻击资产,无需任何额外服务。我们通过您的构建管道实施策略并运行合规性测试,以帮助您避免罚款,并始终意识到泄漏数据。

7.Whitehat Security

官方网站:https://www.whitehatsec.com/

是否商用:是

在开发、运营和安全团队中自动化和扩展应用程序安全,并在DevOps周期的早期交付安全代码。提高补救率、补救时间,并节省宝贵的资源。

8.Contrast Security

官方网站:https://www.contrastsecurity.com/

是否商用:是

Contrast Scan是管道原生的,提供现代软件开发所需的速度、准确性和集成。对比扫描通过将扫描时间缩短10倍,补救时间缩短45倍,同时将应用程序安全效率提高30%,从而改变了15年历史的SAST技术。

9.GitLab

官方网站:https://docs.gitlab.com/ee/user/application_security/

是否商用:是

GitLab可以检查您的应用程序是否存在安全漏洞,包括:未经授权的访问、数据泄露、拒绝服务攻击等问题。

10.Invictl

官方网站:https://www.invicti.com/

是否商用:是

灵活的团队需要快速的解决方案。Acunetix利用独特的扫描引擎,以其发现漏洞的速度和准确性而闻名。Acunetix于2005年在马耳他岛率先推出,是有史以来第一个自动Web应用程序安全扫描仪。

11.GitHub

官方网站:https://github.com/security

是否商用:是

在GitHub工作流中扫描应用程序:领先于安全问题,利用安全社区的专业知识,安全地使用开源。

12. Axivion Bauhaus Suite

官方网站:https://www.axivion.com/

是否商用:是

一个针对Ada、C、C、C++、C#和Java代码的静态代码分析工具套件,可执行各种分析,如架构检查、接口分析、MISRA检查和克隆检测等。

13.CodeDx

官方网站:http://codedx.com/

是否商用:是

软件应用漏洞关联与管理系统,整合多种静态应用安全测试(SAST)和动态应用安全测试(DAST)工具检测到的软件漏洞,以及手动代码审查的结果,并将其归纳整理和规范化。支持C、C++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、VB.NET和XML/XSL。

14. SideCI

官方网站是:https://sider.review/

是否商用:是

基于静态代码分析的自动代码审查工具,适用于Ruby、Python、PHP、JavaScript、CoffeeScript和Go。它可以检查风格、质量、依赖性、安全性和bug。

15. SofCheck Inspector

官方网站:http://www.sofcheck.com/

是否商用:是

SofCheck检查器是一个静态分析工具,用于发现Java字节码中的错误。它使用静态控制流、数据流和possible-value-set 传播(PVP)技术来确定可能发生运行时错误的位置。这种自动化软件质量技术提供了100%的路径覆盖,并允许在软件生命周期的早期识别和消除缺陷。检查器生成Java代码行为的先决条件和后置条件,对于白盒代码检查非常有用。它检测竞争条件、索引越界、溢出、除以零、死代码、未使用的分配、测试始终单向或引发的异常。

16.Raxis

官方网站:https://raxis.com/code-review

是否商用:是

Raxis使用手动的、逐行的程序来审查实际代码的安全风险。我们的流程是为了满足PCI DSS要求6.3.2等合规性标准而设计的,该标准要求任何定制的内部或公开的代码必须由原作者以外的人进行审查。虽然这可能比使用自动化流程需要更长的时间,但PCI推荐的手动程序,使我们能够发现工具通常会忽略的逻辑错误。此外,我们会提出建议,在适用的情况下,即使代码没有出现直接的漏洞,我们也会提出转为安全编码最佳实践的建议。在某些情况下,我们可能会使用工具来帮助我们批量定位编码问题,但是这些工作都是由高素质的程序员和安全专家手动完成的。

17.PVS-Studio

官方网站:https://www.viva64.com/en/pvs-studio-download/?promo=top40

是否商用:是

PVS-Studio是一个静态代码扫描工具,用于检测C、C++、C#和Java源代码中的错误和潜在漏洞。

18.Kiuwan

官方网站:https://www.kiuwan.com/

是否商用:是

Kiuwan是目前市场上技术覆盖和集成度最高的SAST和SCA平台。通过DevSecOps的方法,Kiuwan获得了出色的基准分数(如Owasp、NIST、CWE等),并提供了丰富的功能,超越了静态分析的范畴,能够满足SDLC中每一个利益相关者的需求。

19.Gamma

官方网站:https://embold.io/

是否商用:是

Gamma是一个智能软件分析平台,由Acellere开发。它可以加快代码审查速度,支持开发人员和团队在更短的时间内构建更高质量的软件。它能自动优先处理代码中的热点,并提供清晰的可视化功能。凭借其多矢量诊断技术,它可以从多个角度来分析,包括软件设计等多个方面进行分析,使企业能够透明地管理和提高软件质量。

20.Reshift

官方网站为:https://www.reshiftsecurity.com/

是否商用:是

Reshift是一个基于SaaS的软件平台,可以帮助软件开发团队在部署到生产之前,更快地在自己的代码中发现更多的漏洞。

减少发现和修复漏洞的成本和时间,识别数据漏洞的潜在风险,帮助软件公司实现合规性和监管要求。

21.CodeScene

官方网站:https://empear.com/

是否商用:是

CodeScene根据公司如何实际使用代码来优先处理技术债务和代码质量问题。因此,CodeScene将结果限制在相关的、可操作的、直接转化为商业价值的信息上。

CodeScene还超越了传统的工具,通过测量公司和人员的侧重点来检测软件架构中的协调瓶颈、离岗风险和知识差距。

最后,CodeScene集成到您的CI/CD管道中,作为一个额外的监管员来预测交付风险,并提供上下文感知的质量门来监督您的代码的健康状况。

22.Visual Expert

官方网站:https://www.visual-expert.com/

是否商用:是

Visual Expert是一款针对SQL Server、Oracle和PowerBuilder代码的独特静态代码分析工具。

23.Parasoft

官方网站:https://www.parasoft.com

是否商用:是

Parasoft是静态分析测试的最佳工具之一。与其他静态分析工具相比,Parasoft的静态分析工具略有不同,因为它能够支持各种类型的静态分析技术,如基于模式的、基于流程的、第三方分析、度量和多变量分析。

24.Cast

官方网站:http://www.castsoftware.com/

是否商用:是

一个可以用来分析50多种语言的自动化工具,无论项目规模大小,它都能出色地工作。此外,它还为用户提供了一个仪表板,有助于衡量质量和生产力。

25.CodeSonar

官方网站:http://www.grammatech.com/products/source-code-analysis

是否商用:是

Grammatech的静态分析工具,不仅可以让用户找到编程错误,还可以帮助用户找出域相关的编码错误。它是一个很好的检测安全漏洞的工具,它的深度静态分析能力使它从众多的静态分析工具中脱颖而出。

26.Understand

官方网站:https://scitools.com/

是否商用:是

Understand可以让用户通过分析、测量、可视化和维护来理解代码。这使得用户可以快速分析大量的代码。这是一个主要用于航空航天和汽车行业的工具。支持C/C++、ADA、COBOL、FORTRAN、PASCAL、Python等主流语言和其他网络语言。

27.CppDepend

官方网站:https://www.cppdepend.com/

是否商用:是

与其他静态分析工具相比,是一款非常容易使用的工具。CppDepend是用来分析C/C++代码的。它支持不同的代码质量指标,提供了监控趋势的功能,有一个与Visual Studio集成的插件,允许编写自定义查询,并带有非常好的诊断功能。

28.klocwork

官方网站:https://www.perforce.com/products/klocwork

是否商用:是

Klocwork是一款静态代码分析工具,支持C、C++、C#、Java和JavaScript语言。同时它支持MISRA、AUTOSAR、NASA、CERT、CWE、DISA STIG和OWASP合规。

29.Helix QAC

官方网站:https://www.perforce.com/products/helix-qac

是否商用:是

Helix QAC是Perforce(原PRQA)推出的一款优秀的C和C++代码静态分析测试工具。它提供了非常清晰的诊断程序,有助于识别根本原因和快速修复缺陷。

30.Goanna

官方网站:http://redlizards.com/

是否商用:是

一个用于C/C++的安全静态分析工具,允许与Microsoft Visual Studio、Eclipse、Texas Instruments Code Composer和更多的IDE集成。此外,它还具有出色的错误报告功能。

31.Polyspace

官方网站:http://in.mathworks.com/products/polyspace-bug-finder/

是否商用:是

Polyspace bug-finder可以检测C/C++的缺陷;它与Eclipse集成,同时覆盖MISRA C、MISRA C++和JSF++等编码规则标准。

32.Sourcemeter

官方网站:https://www.sourcemeter.com/

是否商用:是

一个帮助分析C/C++、Java、C#、RPG和Python代码的工具。它允许与免费的静态检查工具如cppcheck、PMD、FindBugs集成。

33.JArchitect

官方网站:http://www.jarchitect.com/

是否商用:是

该工具可以让分析Java代码变得简单易行,支持通过LINQ进行代码查询,提供了大量的代码指标,允许在不同的构建之间进行代码比较,并且具有很好的自定义报告功能。

34.Raxis

官方网站:https://gimpel.com/

是否商用:是

用于测试C/C++源代码。PC Lint可以在windows操作系统上工作,而Flexe Lint是专为非windows操作系统设计的,可以在包括UNIX在内的支持C语言编译器的系统上运行。

35.Eclair

官方网站:https://www.bugseng.com/eclair

是否商用:是

Eclair是一个非常灵活和易于配置的静态分析工具,几乎支持所有平台,如Windows、UNIX、Linus、Mac OS X。

36.SonarQube

官方网站:http://www.sonarqube.org/

是否商用:是

Sonar(SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持的语言包括:Java、PHP、C#、C、Cobol、PL/SQL、Flex 等。

37.IBM AppScan Source

官方网站:http://www-03.ibm.com/software/products/en/appscan-source

是否商用:是

AppScan Source用于保护传统和移动应用程序,并构建具有静态应用程序安全测试的安全软件。

38.DeepScan

官方网站:https://deepscan.io/

是否商用:是

DeepScan是一个高级静态分析工具,支持JavaScript、TypeScript、React和Vue.js。DeepScan检查可能的运行时错误和质量问题,而不是编码惯例。可与你的GitHub仓库集成,以获得对Web项目的质量洞察。

39.Sparrow

官方网站:https://www.sparrowfasoo.com/en/

是否商用:是

SPARROW使用的是深度语义分析技术结合传统的语法分析技术,通过对C/C++/JAVA源代码的数据流图和控制流分析并生成类似SSA(即静态单一赋值法)形式的中间代码表示,对程序所有的可执行路径中所有变量取值范围进行近似,采用近似后的取值超集,推断、识别并验证代码的所有执行路径上是否会引起运行时错误或者是产生安全性缺陷,然后产生缺陷的详细缺陷路径的定位和报告,帮助测试人员快速、准确地发现、理解、修改缺陷。

可对任意的桌面环境C/C++/JAVA代码或嵌入式C/C++/JAVA代码进行便捷的、快速的、准确的运行时缺陷、安全缺陷的识别、定位及统计报告功能。

40.Xchecker

官方网站:暂无

是否商用:是

Xcheck是一个由腾讯公司CSIG质量部代码安全检查团队自研的静态应用安全测试(SAST,Static application security testing)工具,致力于挖掘代码中隐藏的安全风险,提升代码安全质量。

Xcheck现已支持Golang、Java、Nodejs、PHP、Python 五种语言的安全检查,其他语言支持还在开发中。覆盖漏洞包括SQL注入、代码注入、命令注入、跨站脚本、反序列化漏洞、路径穿越等多种漏洞。

在框架支持上,xcheck内置覆盖了常见的web框架,也可根据易编写易扩展的自定义规则模块自行编写规则对第三方框架进行覆盖支持。

语言 框架
Golang Gin,Beego,Iris,net/http,fastrouter,httprouter,go-restful,mux
Java Spring,HttpServlet,WebService,jax-rs
Nodejs Koa,Express
PHP Thinkphp,Laravel,CodeIgniter,Yii,Yaf
Python Django,Flask,Tornado,Webpy,Bottle,BaseHTTPServer

41.CodeShield

官方网站:https://codeshield.io/

是否商用:是

CodeShield有三大类安全检测功能:1)错配风险 2)开源组件漏洞检测 3)注入类问题检测。其中注入类问题的检测是基于精准的数据流(Synchronized Pushdown Systems for Pointer and Data-Flow Analysis)分析引擎实现的,它由Johannes Späth在博士毕业时发表的,获得Ernst Denert Software Engineering Award 2019。

42.DeepSource

官方网站:https://www.deepsource.io

是否商用:是

DeepSource 可以帮你在代码评审期间自动发现并修复代码中的问题。它可以与 Bitbucket、GitHub 或 GitLab 帐户集成。这个工具可以找出反模式、bug 风险、性能问题。DeepSource 还会生成并跟踪各种指标(例如依赖项计数、文档覆盖率等)。分析器先发现文件级别的问题 (如在特定位置发现反模式),并进一步发现代码库级别的问题 (如发现有些依赖项没有安装)。DeepSource Autofix 会为检测到的问题提出修复建议,并创建一个修复的拉取请求。

43.Codacy

官方网站:https://www.codacy.com

是否商用:是

Codacy是一个静态分析工具,可以帮助开发人员处理技术债务并提高代码质量。Codacy 监控每一次代码提交和 PR 的代码质量。可以用它来加强代码质量标准,加强安全实践,并节省代码评审时间。

44.Embold

官方网站:https://embold.io

是否商用:是

Embold是一个通用的静态分析器,可以帮助开发人员在关键代码问题成为障碍之前把它们找出来。它是一个有效诊断、转换和维护应用程序的得力工具。它集成了人工智能和机器学习技术,可以找出一级问题,提供最佳解决方案,并在必要时重构应用程序。你可以在已有的 DevOps 技术栈中使用它,可以在内部使用,也可以在私有云和公共云中使用它。

45.DMSCA(端玛)

官方网站:http://www.dumasoftware.com/goods_detail/3.html

是否商用:是

端玛企业级静态源代码扫描分析服务平台(英文简称:DMSCA)是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷,让软件开发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题,并依据提供的专业中肯的修复建议,快速修复。提高软件产品的可靠性、安全性。同时兼容并达到国际、国内相关行业的合规要求。

DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上,联合多所国内及国际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源代码缺陷的发展势态和市场后,研发出的新一代源代码企业级分析方案旨在从根源上识别、跟踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的缺陷。打断了国外产品在高端静态分析产品方面的垄断,形成中国自主可控的高端源代码安全和质量扫描产品,并支持中国自己的源代码检测方面的国家标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#),致力于为在中国的企业提供更直接,更个性化的平台定制和本地化服务。

46.Armorize CodeSecure

官方网站:http://www.armorize.com/codesecure

是否商用:是

阿码科技成立于2006年,总部设立于美国加州圣克拉拉市,研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案,捍卫企业免于受到黑客利用 Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险,并清楚交代风险的来龙去脉 (如何进入程序,如何造成问题) 。CodeSecure内建语法剖析功能无需依赖编译环境,任何人员均可利用 Web操作与集成开发环境双接口,找出存在信息安全问题的源代码,并提供修补建议进行调整。CodeSecure依托于自行开发的主机进行远程源代码检 测,在保证速度稳定的同时方便用户进行Web远程操作。

47.CodeQL

官方网站:https://securitylab.github.com/tools/codeql/

是否商用:是

CodeQL 是一个语义代码分析引擎,它可以扫描发现代码库中的漏洞。使用 CodeQL,可以像对待数据一样查询代码。编写查询条件以查找漏洞的所有变体,并处理,同时可以分享个人查询条件。

48.Codepeer

官方网站:https://www.adacore.com/codepeer

是否商用:是

CodePeer是针对Ada和Java语言的代码审查工具。通过逐行分析代码的方式,它既能发现运行时可能出现的失败点,又能发现疑似多余的、以及不能被代码库访问的程序代码。此外,CodePeer还能够在前置条件和后置条件的环境中,对每个子程序进行详细分析,以发现潜在的错误和漏洞。

49.Understand

官方网站:https://www.meteonic.com/understand;https://www.scitools.com/

是否商用:是

Understand检查您的代码是否符合代码的国际标准(如MISRA-C 2004,MISRA-C++ 2008等),或者您自己自定义的检查标准,如企业的代码规范等。

50.Astrée

官方网站:https://www.absint.com/astree/index.htm

是否商用:是

Astrée静态分析编程语言是否正确使用,以及在任何环境中的任何执行过程中是否可能存在任何运行时错误。这涵盖了根据相应语言标准,具有未定义行为或违反硬件特定方面的C或C++的任何使用。

此外,Astree报告无效的并发行为、违反用户指定的编程指南以及与功能安全相关的各种程序属性。

51.Code Climate(云上)

官方网站:https://codeclimate.com/

是否商用:是

Code Climate 可以看作是开发团队的云机器人,无需执行代码就可对代码进行标准化测试,能发现 PHP、Python、Ruby 和 JavaScript 的安全漏洞和各种代码错误。

52.Codebeat

官方网站:https://codebeat.co/

是否商用:是

CodeBeat是一种流行的代码审查工具,它可以提供自动化的代码审查与反馈。在从1到4级的通用等级代码审查标准中,它属于第4级工具。CodeBeat支持诸如Python、Ruby、Java、Javascript、Golang、以及Swift等多种语言。

通过提供团队管理工具,CodeBeat可以轻松地分析代码,并在团队中出现开发人员调整时,保持代码的一致性。由于能够与Github、Gitlab、Bitbucket、Slack和Hipchat等许多流行工具相集成,因此开发人员和软件团队都可以在项目中协同使用CodeBeat。

53.ConQAT

官方网站:https://codeclimate.com/

是否商用:是

Code Climate 可以看作是开发团队的云机器人,无需执行代码就可对代码进行标准化测试,能发现 PHP、Python、Ruby 和 JavaScript 的安全漏洞和各种代码错误。

54.AppСhecker

官方网站:https://npo-echelon.ru/en/solutions/appchecker.php

是否商用:是

AppChecker是一个静态代码分析工具,支持C/C++/C#, PHP and Java语言。

55.PT Application Inspector

官方网站:https://npo-echelon.ru/en/solutions/appchecker.php

是否商用:是

PT Application Inspector是唯一一个提供高质量分析和方便工具来自动确认漏洞的源代码分析器。它显著加快了报告的工作,并简化了安全专家和开发人员之间的团队合作。

56.APPscreener

官方网站:https://solarappscreener.com/

是否商用:是

APPscreener是一个静态代码分析工具,支持Java/Scala, PHP, Javascript, C#, PL/SQL, Python, T-SQL, C/C++, ObjectiveC/Swift, Visual Basic 6.0, Ruby, Delphi, ABAP, HTML5和Solidity语言。

57.Code Inspector

官方网站:https://www.code-inspector.com/

是否商用:是

代码质量和 Technical Debt管理平台,支持10+语言。

58.DeepCode

官方网站:https://www.deepcode.ai/

是否商用:是

DeepCode基于AI来查找BUG、安全漏洞、性能和API问题。

59.InsiderSec

官方网站:https://insidersec.io/

是否商用:是

一个开源静态应用程序安全测试工具(SAST),用户扫描Java(Maven和Android)、Kotlin (Android)、Swift (iOS)、.NET Framework、C#和Javascript (Node.js)。

60.Xanitizer

官方网站:https://www.xanitizer.com/xanitizer/

是否商用:是

Xanitizer是一个Web应用程序静态代码扫描工具。

61.Symfony Insight

官方网站:https://insight.symfony.com/

是否商用:是

Symfony Insight检测安全风险,发现错误,并为PHP项目提供可操作的指标。

62.SourceMeter

官方网站:https://www.sourcemeter.com/

是否商用:是

SourceMeter是一个创新的工具,用于对C/C++、Java、C#、Python和RPG项目进行精确的静态源代码分析。此工具使您可以仅从源代码中找到正在开发的系统的弱点,而不需要模拟实时条件。

63.ShiftLeft

官方网站:https://www.shiftleft.io/

是否商用:是

ShiftLeft用于识别代码库特有的漏洞。利用代码属性图(CPG)在单个图中同时运行其分析。自动发现开发中的业务逻辑缺陷,如硬编码机密和逻辑炸弹。

64.LGTM

官方网站:https://www.shiftleft.io/

是否商用:是

LGTM自动分析每个提交,以尽早识别漏洞,并使开发人员能够防止0-days漏洞。

65.Attackflow Extension

官方网站:https://www.attackflow.com/Extension

是否商用:是

Attackflow 是一个Visual Studio的插件,它使开发人员能够在没有任何事先知识的情况下实时在源代码中找到关键的安全错误。

66.AzSK

官方网站:https://azsk.azurewebsites.net/

是否商用:是

适用于Azure的安全DevOps套件(AzSK)在基础架构即代码中提供安全IntelliSense、安全验证测试(SVT)、CICD扫描漏洞、合规性问题和基础架构错误配置。

67.Kics

官方网站:https://kics.io/

是否商用:是

Kics能够分析代码中的安全漏洞、合规性问题和基础架构配置错误。

68.Oversecured

官方网站:https://oversecured.com/

是否商用:是

Oversecured是一款移动应用程序漏洞扫描器,专为安全研究人员和漏洞赏金黑客设计。它还允许集成到企业的DevOps流程中。

69.悟空

官方网站:https://www.tianqisoft.cn/

是否商用:是

悟空是一款静态代码分析工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

70.Helix QAC

官方网站:http://www.softtest.cn/show/41.html?renqun_youhua=2044129

是否商用:是

Helix QAC是静态代码分析工具,依据C和C++编码规则自动扫描代码对规则的违背。开发团队在开发过程的早期就可以用它来检测缺陷,因为此时修改代码是最方便也最经济的。Helix QAC因此自动化强制实施代码编程标准,比如MISRA,保证代码的合规性。

71.鉴释

官方网站:https://xcalibyte.com.cn/jishu-jiejue-fangan/sast/

是否商用:是

鉴释的静态代码分析解决方案旨在助力软件开发人员迅速、准确识别代码错误,并及时进行修复。借助鉴释的静态扫描工具,您可以放心创建符合标准并且准确、优质的软件。

72.鸿渐

官方网站:http://www.redrocket.cn/

是否商用:是

鸿渐源代码静态检测工具(简称鸿渐SAST)是基于北大和中科院等高校优秀毕业生多年的研究成果,应用多种国际先进代码分析、深度学习技术,研发的源代码检测工具,面向组织的源代码检测需求,在不改变组织现有开发、测试流程的前提下,与源代码管理系统(Git、SVN等)、缺陷管理系统(如Jira、Bugzilla、禅道等)、 持续集成工具(如Jenkins、禅道)无缝对接,将源代码检测融入企业的研发流程,实现了源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、编译不通过检测逆向架构图自动生成,并提供了检测器自主研发接口等功能,帮助组织快速构建源代码安全自主检测体系和能力。

73.Pinpoint

官方网站:https://www.sourcebrella.com/pinpoint/

是否商用:是

源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺陷,并清晰的展示缺陷触发的原因。由于具备人工智能软件逻辑推理能力,Pinpoint的检测准确度和缺陷发现能力均居于世界领先水平。

74.CodeSense Pro

官方网站:http://www.ubisectech.com/other7.html

是否商用:是

CodeSense Pro是新一代的软件源代码缺陷分析平台。经过清华大学与国防科技大学的专家团队对代码静态分析技术的深度理论研究,结合软件工程实践研发而成。CodeSense Pro使用了控制流分析、数据流分析、上下文敏感分析、对象敏感分析、跨程序分析和跨文件分析等多种国内外先进技术,能够精准的检测软件安全漏洞与质量缺陷,支持多种编程语言,具有强大的检测规则扩展能力,支持多种开发环境与国产化平台。

75.Svace

官方网站:https://www.ispras.ru/en/technologies/svace/

是否商用:是

Svace在安全开发生命周期内查找生产中的关键程序错误问题。

76.Dawnscanner

官方网站:https://dawnscanner.org/

是否商用:是

Dawnscanner是一个静态分析安全扫描器,用于分析Ruby编写的Web应用程序。它支持sinatra、Padino和Ruby on Rails框架。

参考

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。