七大静态密码分析工具
静态代码分析,或称为源代码分析,是一种将静态代码分析工具,以非运行的方式运用到软件源代码上,以审查其是否符合既定的编码标准,进而发现各种潜在漏洞的方法。通常,静态分析可以为我们带来如下好处:
在代码被执行之前,获取对其的深入洞见
与动态分析相比,静态分析的执行速度更快
可自动化维护代码的质量
能够在早期阶段自动搜索出部分错误(尽管不是全部)
可以在早期阶段自动发现各种安全问题
在实际运用中,您可以使用任何带有静态分析器的IDE(如:Pycharm使用的是pep8),来开展静态分析。
下面,让我们一起来探讨一下,目前市场上七种领先的静态代码分析工具:
01
DeepSource
DeepSource可帮助您在代码审查期间,自动查找并修复代码中的各类问题。在使用过程中,它可以与用户的Bitbucket、GitHub或GitLab帐户相集成。该工具可以查找反模式(anti-patterns)、Bug风险、以及由性能引发的各种问题。同时,DeepSource还会生成并跟踪例如:依赖项数量、文档覆盖率等相关指标。
该分析器既可以运行在文件级别,在特定位置发现反模式;又可以运行在存储库级别,发现某些依赖项尚未安装等深层次问题。此外,DeepSource的Autofix还会为发现的问题提供修复建议,并根据更改建议创建拉取式请求。
主要特征:
提供单个文件配置
对拉取式请求进行质量审查
能够覆盖广泛的问题
提供主动且可维护的分析器
可详细解析每个问题
可跟踪代码的各项指标
可通过自定义分析,选择性忽略某些问题
可针对常见问题提出修复建议,如适合,可根据更改建议创建拉取式请求
无需设置CI,即可在每一次提交和拉取请求上,运行Black、YAPF、Gofmt等代码格式化文件。
缺点:
不支持PHP语言
语言支持:
支持Python、JavaScript、Go、Ruby、Java、Docker、TestIdentify
能够在每一次提交和拉取请求中覆盖SQL、Terraform、Shell
02
SonarQube
作为一种流行的静态分析工具,SonarQube可用于持续审查代码库中的代码质量和安全性,并在代码审查期间给予开发团队相应的指导。同时,它也可被用于带有CI/CD集成的自动化代码审查中。
此外,SonarQube还通过提供质量管理工具,来主动协助IDE集成、Jenkins集成、持续集成服务器、以及确保代码查看工具的正确设置。
主要特征:
支持多语言
提供安全分析
确保代码的发布质量
具有可维护性
可识别出较为棘手的问题
缺点:
并非所有的IDE都能够支持SonarQube
无法为那些团队暂时绕开,或暂缓解决的问题提供忽略选项
语言支持:
支持包括Java、C#、JavaScript、TypeScript、C/C++、以及COBOL等25种以上的编程语言
03
Codacy
Codacy是一种静态分析工具,可以帮助开发人员解决技术问题,并提高代码质量。Codacy在每一次提交和PR(产品迭代)中监视代码质量。您可以用它来执行代码质量标准,执行安全性实践,并节省代码审查的时间。
主要特征:
提供代码审查的自动化
提供代码质量分析
支持代码安全性分析
支持集群安装与多实例
缺点:
缺乏与某些SaaS服务的集成,其中包括:Sonatype、Blackduck、AWSAPI网关的APIQOS各项指标、以及UI/E2E的各种Saas测试服务
无法对项目的相关信息进行加密,或是限制对UI中的源代码进行访问
其拥有的社区相对较小
语言支持:
支持包括Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript等30多种语言。
04
DeepScan
DeepScan是一款业界技术领先的静态分析工具。它能够方便开发人员查找运行时(runtime)中的各项错误与质量问题,而不仅仅停留在编码规则的层面上。通过将DeepScan与目标GitHub存储库的集成,您可以对自己项目的产品质量进行深入了解。
主要特征:
错误追踪
自动化构建
代码审查
协作
持续集成
缺点:
支持的编程语言较为有限
语言支持:
能够支持JavaScript、TypeScript、React和Vue.js。
05
Embold
作为一种通用的静态分析器,Embold既可帮助开发人员在那些关键代码问题出现在产品中之前,事先查找并定位它们,又能够针对应用程序,提供诊断、转换和运维等服务。
由于整合了AI和机器学习技术,Embold能够通过评级机制,对发现的问题提出最佳解决方案,并按需对应用进行重构。而且,它可运行在诸如DevOps技术栈、本地系统、私有云、以及公有云中。
主要特征:
直观的用户界面
提供更加深入和快速的审查
增强的智能性能
提供无缝的集成
缺点:
定价过高
语言支持:
Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL
06
Veracode
Veracode是一款仅针对安全性问题的流行静态代码分析工具。它能够通过IDE扫描、管道(pipeline)扫描、以及策略扫描等方式,在整个管道中执行代码审查,以发现安全漏洞。通过创建对于代码的评估,Veracode能够被作为程序的一部分进行审计。
主要特征:
提供编码时的安全性反馈
在管道中提供快速的运行成果
满足审计员的各项要求
分析的精度较高,无需额外调优
提供修复建议
缺点:
不提供任何可自定义的扫描规则
UX(用户体验)不太好
语言支持:
Java、.NET、JavaScript、Scala、Python、PHP、RubyonRails、ColdFusion、Swift、C/C++、COBOL、VisualBasic6、RPG等
07
Reshift
Reshift是一个基于SaaS的软件平台。它可以无缝地被集成到软件开发的工作流程中。项目团队可以用它来加速交付流程,并确保持续部署过程中的安全性。Reshift能够减少他们花费在查找与修复漏洞,识别数据泄露的潜在风险,以及协助软件产品合规性等方面的成本和时间。
主要特征:
能够快速被设置
提供安全扫描
缺点:
除Java之外,并不支持其他语言
语言支持:
Java
作者:陈峻编译来源:51CTO
预览时标签不可点收录于话题#个上一篇下一篇