文档介绍:静态代码分析工具汇总(转) 作者: Nasser |出处:博客园|2011/9/8 23:55:20 |阅读 79次静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题, 程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背程序编程风格的问题,包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。”。我看了一系列的静态代码扫描或者叫静态代码分析工具后, 总结对工具的看法: 静态代码扫描工具, 和编译器的某些功能其实是很相似的, 他们也需要词法分析, 语法分析, 语意分析... 但和编译器不一样的是他们可以自定义各种各样的复杂的规则去对代码进行分析。以下将会列出的静态代码扫描工具, 会由于实现方法, 算法, 分析的层次不同, 功能上会差异很大。有的可以做 SQL 注入的检查,有的则不能( 当然,由于时间问题还没有对规则进行研究, 但要检查复杂的代码安全漏洞, 是需要更高深分析算法的, 所以有的东西应该不是设置规则库就可以检查到的, 但在安全方面的检查, 一定程度上也是可以通过设置规则进行检查的)。以下我在网上搜集到的分析工具, 我整理了以下挑了一些出来, 这里只是一部分, 另外一些可以到参考链接上看一下: 工具名静态扫描语言开源/付费厂商介绍主页网址 VB. Net 、C、 C++ 和 C#, 还支持 Java 。付费 Ounce Labs \ . com / Cover ity Pr event C/C++,C# ,JAVA 付费 Coverit y 还有其他辅助工具: Thread Analyzer for Java Software Read in ess Manager for Java ex. html Architecture Analyzer ***@stake SmartRis k? Analyzer C/C++,Ja va 付费 Symante c Corpora tion ***@stake SmartRisk ? Analyzer harnesses the power of static analysis of binary executables (C, C++, and Java) to ide ntify, categorize and prioritize security 。注:在 Symante c 没有搜到此产品?! iness/ Rational Purify C/C++,Ja va 付费 IBM Provides memory leak and memory corruption detection for Windows , Runtime?! /software/awd too ls/purify/ PREfix \\ microso ft 微软用的静态分析工具,但暂时没有找到下载, 现在好像在考虑发布中! \ Jtext Java 付费 parasof t 同时还有其他静态分析代码的产品, 如:C++Test... 详细请查询官网/cn/ flawfind er C/C++ 开源\ 用 Pytho n 编写的 c、 c++ 程序安全审核工具, 可以检查潜在的安全风险。 wfinder/ Static C/C++,C# 付费 Fortify \ / Code Analyzer ,JAVA Klocwork Insight C/C++ ,Ja va 付费 Klocwor k \ ducts/insight. asp PolySpac e Client/S erver C/C++ 、 Ada 语言付费 MathWor ks \ / rats C/C++, Python, Perl, PHP 代码进行安全审核的工具开源\\ urity-resources/ p LAPSE Java 开源\ LAPSE stands for a Lightweight Analysis for Program Security in Eclipse . LAPSE is design ed to help with the task of auditing Java J2EE applications mon types of secur