静态分析和代码质量

Logo

>静态程序分析是对没有实际执行程序的情况下执行的计算机软件的分析, Wikipedia

这是静态分析工具和代码质量检查器的集合. 拉请求非常欢迎!

:版权:代表专有软件. 所有其他工具都是开源的. :警告:表示社区不建议将该工具用于 已经过时或不再维护的新项目.

Also check out the sister project, awesome-dynamic-analysis.

显示语言

Programming Languages

ABAP

  • abaplint -用TypeScript编写的ABAP的Linter.
  • abapOpenChecks -通过新的和可自定义的检查功能增强了SAP Code Inspector.

Ada

  • Codepeer -检测运行时和逻辑错误
  • Polyspace for Ada :copyright:-提供代码验证,以证明源代码中不存在溢出,零除,越界数组访问以及某些其他运行时错误.
  • SPARK :copyright:-Ada的静态分析和形式验证工具集
  • Understand :copyright:-IDE为Ada和VHDL提供代码分析,标准测试,指标,图形,依赖性分析等.

Awk

  • gawk --lint - warns about constructs that are dubious or nonportable to other awk implementations.

C/C++

  • Astrée :copyright:-基于C / C ++抽象解释的声音静态分析器,可检测内存,类型和并发缺陷以及MISRA违规.
  • CBMC -用于C程序,用户定义的断言,标准断言,若干覆盖率度量分析的有界模型检查器
  • clang-tidy -lang静态分析
  • CMetrics -测量C文件的大小和复杂性
  • Codecheker -使用Web GUI对C / C ++代码进行静态分析
  • CodeSonar from GrammaTech :copyright:-高级,整个程序,深层路径,对C和C ++的静态分析以及易于理解的说明以及代码和路径可视化.
  • Corrode -从C到Rust的半自动翻译. 通过显示Rust编译器警告和错误,可以揭示原始实现中的错误.
  • cppcheck -C / C ++代码的静态分析
  • CppDepend :warning::copyright:-测量,查询和可视化您的代码,避免意外的问题,技术负担和复杂性.
  • cpplint -遵循Google风格指南的自动C ++检查器
  • cqmetrics -C代码的质量指标
  • CScout -C和C预处理程序代码的复杂度和质量指标
  • flawfinder -发现可能的安全漏洞
  • flint++ -flint的跨平台,零依赖端口,这是Facebook开发和使用的C ++ lint程序.
  • Frama-C -完善的C代码静态分析器
  • Helix QAC :copyright:-嵌入式软件的企业级静态分析. 支持MISRA,CERT和AUTOSAR编码标准.
  • IKOS -基于LLVM的C / C ++代码的声音静态分析器
  • include-gardener - a static analyzer for C/C++/Obj-C to create a graph (in dot or graphml format) which shows all #include relations of a given set of files.
  • LDRA :copyright:-一个工具套件,包括对各种标准的静态分析(TBVISION),包括MISRA C&C ++,JSF ++ AV,CWE,CERT C,CERT C ++和自定义规则.
  • oclint -C / C ++代码的静态分析
  • Phasar -基于LLVM的静态分析框架,带有污点和类型状态分析.
  • Polyspace Bug Finder :copyright:-标识C和C ++嵌入式软件中的运行时错误,并发问题,安全漏洞和其他缺陷.
  • Polyspace Code Prover :copyright:-提供代码验证,以证明C和C ++源代码中不存在溢出,零除,越界数组访问以及某些其他运行时错误.
  • scan-build -在编译时使用LLVM分析C / C ++代码
  • splint -注释辅助的静态程序检查器
  • SVF -静态工具,可对C和C ++程序进行可伸缩且精确的过程间相关性分析.
  • vera++ -Vera ++是用于验证,分析和转换C ++源代码的可编程工具.

C#

  • .NET Analyzers -使用.NET编译器平台开发分析器(诊断和代码修复)的组织.
  • Code Analysis Rule Collection -包含在Microsoft .NET编译器平台“ Roslyn”上构建的一组诊断程序,代码修复程序和重构程序.
  • code-cracker - An analyzer library for C# and VB that uses Roslyn to produce refactorings, code analysis, and other niceties.
  • CodeRush :copyright:-使用Visual Studio 2015及更高版本中的Roslyn引擎的代码创建,调试,导航,重构,分析和可视化工具.
  • CSharpEssentials - C# Essentials is a collection of Roslyn diagnostic analyzers, code fixes and refactorings that make it easy to work with C# 6 language features.
  • Designite :copyright:-Designite支持检测各种体系结构,设计和实现的气味,计算各种代码质量指标以及趋势分析.
  • Gendarme -Gendarme检查包含ECMA CIL格式(Mono和.NET)代码的程序和库.
  • NDepend :copyright:-测量,查询和可视化您的代码,避免意外的问题,技术负担和复杂性.
  • Puma Scan -开发团队在Visual Studio中编写代码时,Puma Scan可为常见漏洞(XSS,SQLi,CSRF,LDAPi,加密,反序列化等)提供实时安全代码分析.
  • Refactoring Essentials - The free Visual Studio 2015 extension for C# and VB.NET refactorings, including code best practice analyzers.
  • ReSharper ©️ - Extends Visual Studio with on-the-fly code inspections for C#, VB.NET, ASP.NET, JavaScript, TypeScript and other technologies.
  • Roslyn Analyzers -基于Roslyn的FxCop分析仪实施.
  • Roslyn Security Guard -该项目侧重于识别潜在漏洞,例如SQL注入,跨站点脚本(XSS),CSRF,加密漏洞,硬编码密码等.
  • Roslynator - A collection of 190+ analyzers and 190+ refactorings for C#, powered by Roslyn.
  • Security Code Scan - Security code analyzer for C# and VB.NET. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.
  • SonarLint for Visual Studio -SonarLint是Visual Studio 2015和2017的扩展,可为开发人员提供实时反馈,以反馈有关.NET代码中注入的新错误和质量问题.
  • VSDiagnostics -与VS集成的基于Roslyn的静态分析器集合.
  • Wintellect.Analyzers -.NET编译器平台(“ Roslyn”)诊断分析器和代码修复.

Crystal

  • ameba -用于Crystal的静态代码分析工具
  • crystal -Crystal编译器具有内置的棉绒功能.

Delphi

  • Fix Insight :copyright:-一个免费的IDE插件,用于静态代码分析. * Pro *版本包含用于自动化目的的命令行工具.
  • Pascal Analyzer :copyright:-具有大量报告的静态代码分析工具. 免费的 Lite 版本提供有限的报告.
  • Pascal Expert :copyright:-用于代码分析的IDE插件. 包括Pascal Analyzer报告功能的一部分,并且可用于Delphi 2007及更高版本.

Dlang

  • D-scanner -D-Scanner是用于分析D源代码的工具

Elixir

  • credo -静态代码分析工具,专注于代码一致性和教学.
  • sobelow -Phoenix框架的安全性静态分析

Elm

  • elm-analyse -一种工具,可让您分析Elm代码,识别缺陷并应用最佳实践.

Erlang

  • elvis -Erlang风格审稿人

F#

Fortran

Go

  • aligncheck -查找效率低下的打包结构.
  • deadcode -查找未使用的代码.
  • dingo-hunter -用于在Go中查找死锁的静态分析器.
  • dupl -报告可能重复的代码.
  • errcheck -检查是否使用了错误返回值.
  • flen -在Go软件包中获取有关函数长度的信息.
  • gas -通过扫描Go AST检查源代码是否存在安全问题.
  • Go Meta Linter :warning:-同时运行Go lint工具并标准化其输出. 将golangci-lint用于新项目.
  • go tool vet --shadow -报告可能被意外遮盖的变量.
  • go vet -检查Go源代码并报告可疑.
  • go-consistent -分析器,可帮助您使Go程序更加一致.
  • go-critic -保留检查当前未在其他linter中实现的检查的源代码linter.
  • go/ast -包ast声明用于表示Go包的语法树的类型.
  • goconst -查找可以被常量替换的重复字符串.
  • gocyclo -计算Go源代码中函数的圈复杂度.
  • gofmt -s -检查代码格式是否正确,是否无法进一步简化.
  • goimports -检查丢失或未引用的程序包导入.
  • GolangCI-Lint -替代“ Go Meta Linter”:GolangCI-Lint是一个Linters聚合器.
  • golint -在Go源代码中打印出编码样式错误.
  • goreporter -同时运行许多linter,并将其输出标准化为报告.
  • goroutine-inspect -分析Golang goroutine转储的交互式工具.
  • gosec (gas) -通过扫描Go AST检查源代码是否存在安全问题.
  • gotype -类似于Go编译器的语法和语义分析.
  • ineffassign -在Go代码中检测无效分配
  • interfacer -建议使用较窄的接口.
  • lll -报告长行.
  • maligned -检测对字段进行排序后会占用较少内存的结构.
  • misspell -查找通常拼写错误的英语单词.
  • nakedret -查找裸露的回报.
  • nargs -在函数声明中查找未使用的参数.
  • prealloc -查找可能预先分配的切片声明.
  • revive - Fast, configurable, extensible, flexible, and beautiful linter for Go. Drop-in replacement of golint.
  • safesql -用于Golang的静态分析工具,可防止SQL注入.
  • staticcheck - A suite of static analysis tools for Go, similar to ReSharper for C#. It specialises on bug finding, code simplicity, performance and editor integration.
  • structcheck -查找未使用的结构字段.
  • test -从stdlib测试模块显示测试失败的位置.
  • unconvert -检测冗余类型转换.
  • unimport -查找不必要的导入别名
  • unparam -查找未使用的功能参数.
  • unused -查找未使用的变量.
  • varcheck -查找未使用的全局变量和常量.

Groovy

  • CodeNarc -用于Groovy源代码的静态分析工具,可以监视和执行许多编码标准和最佳实践

Haskell

  • HLint -HLint是用于建议对Haskell代码进行可能的改进的工具.
  • Weeder -使用Haskell代码检测无效出口或包裹进口的工具.

Haxe

  • Haxe Checkstyle -静态分析工具,可帮助开发人员编写符合编码标准的Haxe代码.

Java

  • Checker Framework -Java的可插拔类型检查http://checkerframework.org/
  • checkstyle -检查Java源代码是否符合代码标准或一组验证规则(最佳做法)
  • ck -通过处理源Java文件来计算Chidamber和Kemerer面向对象的指标
  • ckjm -通过处理已编译的Java文件的字节码来计算Chidamber和Kemerer面向对象的指标
  • CogniCrypt -检查Java源代码和字节码是否正确使用了加密API
  • DesigniteJava :copyright:-DesigniteJava支持各种架构,设计和实现气味的检测以及各种代码质量指标的计算.
  • Error-prone -捕获常见的Java错误作为编译时错误
  • fb-contrib -用于FindBugs的插件,带有其他错误检测器
  • Find Security Bugs -IDE / SonarQube插件,用于Java Web应用程序的安全审核.
  • google-java-format -Google样式重新格式化
  • Hopper -用scala编写的针对JVM上运行的语言的静态分析工具
  • HuntBugs -基于Procyon编译器工具的字节码静态分析器工具,旨在取代FindBugs.
  • JArchitect :copyright:-测量,查询和可视化您的代码,避免意外的问题,技术负担和复杂性.
  • JBMC -Java的有限模型检查器(字节码),验证用户定义的断言,标准断言,多种覆盖率度量分析
  • NullAway - Type-based null-pointer checker with low build-time overhead; an Error Prone 插入
  • OWASP Dependency Check -检查依赖项是否存在已知的,公开披露的漏洞.
  • qulice -结合了一些(预配置)静态分析工具(checkstyle,PMD,Findbugs等).
  • Soot -用于分析和转换Java和Android应用程序的框架.
  • Spoon -为Java编写自己的静态分析和体系结构规则检查器的库. 可以集成在Maven和Gradle中.
  • SpotBugs -SpotBugs是FindBugs的继任者. 静态分析工具,用于查找Java代码中的错误.
  • Xanitizer -Xanitizer在Java / Scala Web应用程序中发现安全漏洞.

JavaScript

  • aether -在节点或浏览器中对用户JavaScript进行Lint,分析,规范化,转换,沙箱运行,逐步浏览和可视化.
  • Closure Compiler -一种编译器工具,可提高效率,减小大小并在JavaScript文件中提供代码警告.
  • ClosureLinter :warning:-确保您所有项目的JavaScript代码均遵循Google JavaScript样式指南中的指南. 它还可以自动修复许多常见错误
  • coffeelint -样式检查器,有助于使CoffeeScript代码保持干净和一致.
  • complexity-report :警告:-JavaScript项目的软件复杂性分析
  • DeepScan :copyright:-一个JavaScript分析器,它针对运行时错误和质量问题,而不是编码约定.
  • escomplex -JavaScript系列抽象语法树的软件复杂性分析.
  • eslint -完全可插拔的工具,用于识别和报告JavaScript模式
  • Esprima -ECMAScript解析基础架构,可进行多用途分析
  • flow -JavaScript的静态类型检查器.
  • jshint :警告:-检测JavaScript代码中的错误和潜在问题,并执行团队的编码约定
  • JSLint :警告:-JavaScript代码质量工具
  • JSPrime -静态安全分析工具
  • NodeJSScan -NodeJsScan是用于Node.js应用程序的静态安全代码扫描程序.
  • plato -可视化JavaScript源复杂度
  • Prettier -固执己见的代码格式化程序.
  • quality -零配置代码和模块棉绒
  • retire.js -扫描程序检测已知漏洞的JavaScript库的使用
  • standard -一个npm模块,用于检查Javascript Styleguide问题
  • tern -JavaScript代码分析器,可提供深入的跨编辑器语言支持
  • xo -固执己见,但可配置的ESLint包装器,其中包含很多东西. 强制执行严格且易读的代码.
  • yardstick :警告:-Javascript代码指标

Kotlin

  • detekt -Kotlin代码的静态代码分析.
  • ktlint -带有内置格式化程序的防骑自行车科特林短绒

Lua

  • luacheck -用于Lua代码的整理和静态分析的工具.

MATLAB

  • mlint :copyright:-检查MATLAB代码文件是否存在问题.

Perl

PHP

Python

  • bandit -在Python代码中查找常见安全问题的工具
  • bellybutton -支持自定义项目特定规则的整理引擎
  • Black -毫不妥协的Python代码格式化程序
  • cohesion -用于测量Python类内聚力的工具
  • Dlint -确保Python代码安全的工具
  • jedi -适用于Python的自动完成/静态分析库
  • linty fresh -解析皮棉错误并将其作为请求请求的注释报告给Github
  • mccabe -检查McCabe的复杂性
  • mypy -静态类型检查器,旨在结合经常使用的鸭子类型和静态类型的优点 MonkeyType
  • py-find-injection -在Python代码中查找SQL注入漏洞
  • pycodestyle -(以前是pep8)根据PEP 8中的某些样式约定检查Python代码
  • pydocstyle -检查是否符合Python文档字符串约定
  • pyflakes -检查Python源文件是否有错误
  • pylint -查找编程错误,帮助实施编码标准并嗅探某些代码气味. 它还包括“ pyreverse”(UML图生成器)和“ symilar”(相似性检查器).
  • pyre-check -用于大型Python代码库的快速,可扩展的类型检查器
  • pyright -用于Python的静态类型检查器,用于解决现有工具(如mypy)中的空白.
  • pyroma -评估Python项目与Python打包生态系统的最佳实践的符合程度,并列出可以改进的问题
  • PyT - Python Taint -静态分析工具,用于检测Python Web应用程序中的安全漏洞.
  • pytype -用于Python代码的静态类型分析器.
  • radon -一个Python工具,可根据源代码计算各种指标
  • vulture -在Python代码中找到未使用的类,函数和变量
  • wemake-python-styleguide -有史以来最严格,最有主见的python linter
  • wily -用于归档,探索和绘制Python源代码复杂性的命令行工具
  • xenon -使用监视代码的复杂性 radon

Python wrappers

  • ciocheck -linter,格式化程序和测试套件帮助器. 作为短绒棉,它是围绕“ pep8”,“ pydocstyle”,“ flake8”和“ pylint”的包装纸.
  • flake8 -围绕pyflakes,pycodestyle和mccabe的包装器
  • multilint -围绕“ flake8”,“ isort”和“ modernize”的包装
  • prospector -在pylintpep8mccabe等周围包装

R

  • cyclocomp -量化R函数/表达式的圈复杂度.
  • goodpractice -分析R软件包的源代码并提供最佳实践建议.
  • lintr -R的静态代码分析.
  • styler -R源代码文件的格式和R代码的漂亮打印.

RPG

  • SourceMeter :copyright:-RPG III和RPG IV版本的静态代码分析(包括自由格式)

Ruby

  • brakeman -用于Ruby on Rails应用程序的静态分析安全漏洞扫描程序
  • cane -代码质量阈值检查作为构建的一部分
  • dawnscanner -用于ruby编写的Web应用程序的静态分析安全扫描程序. 它支持Sinatra,Padrino和Ruby on Rails框架.
  • flay -Flay分析代码的结构相似性.
  • flog -Flog在易于阅读的疼痛报告中报告了遭受最多折磨的代码. 分数越高,代码所处的痛苦就越大.
  • laser -Ruby代码的静态分析和样式查询.
  • pelusa -静态分析Lint型工具,可改善您的OO Ruby代码
  • quality -使用社区工具对代码进行质量检查,并确保您的代码不会随着时间的推移而恶化.
  • Querly -基于模式的Ruby检查工具
  • Railroader -针对Ruby on Rails应用程序的开源静态分析安全漏洞扫描程序.
  • reek -Ruby代码气味检测器
  • RuboCop -基于社区Ruby样式指南的Ruby静态代码分析器.
  • Rubrowser -Ruby类交互式依赖图生成器.
  • ruby-lint -Ruby的静态代码分析
  • rubycritic -Ruby代码质量报告程序
  • SandiMeter -用于检查Ruby代码中Sandi Metz规则的静态分析工具.
  • Sorbet -专为Ruby设计的快速,强大的类型检查器

Rust

  • cargo-audit -审核Cargo.lock,以将带有安全漏洞的板条箱报告给 RustSec Advisory Database.
  • cargo-inspect -在没有语法糖的情况下检查Rust代码,以了解编译器的幕后工作.
  • clippy -防止常见错误并改进Rust代码的代码仓库
  • electrolysis -通过在精益定理证明者中将其转换为定义来正式验证Rust程序的工具.
  • herbie -在使用数值不稳定的浮点表达式时,在包装箱中添加警告或错误.
  • linter-rust -使用Rustc和货物在Atom中整理您的Rust文件
  • Rust Language Server -支持诸如“转到定义”,符号搜索,重新格式化和代码完成之类的功能,并支持重命名和重构.
  • rustfix -阅读并应用rustc(和第三方皮棉,如clippy提供的建议)提出的建议.

Scala

  • linter -Linter是一个Scala静态分析编译器插件,它为各种可能的错误,效率低下和样式问题添加了编译时检查.
  • Scalastyle -Scalastyle检查您的Scala代码并指出其潜在问题.
  • scapegoat -用于静态代码分析的Scala编译器插件
  • WartRemover -灵活的Scala代码整理工具.
  • Xanitizer -Xanitizer在Java / Scala Web应用程序中发现安全漏洞.

Shell

  • i-Code CNES for Shell -用于Shell和Fortran(77和90)的开源静态代码分析工具.
  • shellcheck -ShellCheck,一种静态分析工具,可为bash / sh shell脚本提供警告和建议

Solidity

  • slither -静态分析框架,该框架运行一套漏洞检测器,可打印有关合同详细信息的可视信息,并提供可轻松编写自定义分析的API
  • solium -Solium是一台可以识别和修复Solidity智能合约中的样式和安全问题的工具

SQL

  • sqlcheck -自动识别SQL查询中的反模式
  • sqlint -简单的SQL linter
  • tsqllint -T-SQL专用的linter
  • TSqlRules -SQL Server的TSQL静态代码分析规则

Swift

  • SwiftFormat -用于重新格式化Swift代码的库和命令行格式化工具
  • SwiftLint -实施Swift样式和约定的工具
  • Tailor -用于以Apple的Swift编程语言编写的源代码的静态分析和棉绒工具.

Tcl

  • Frink -Tcl格式化和静态检查程序(可以美化该程序,将其最小化,混淆或仅对其进行完整性检查).
  • Nagelfar -Tcl的静态语法检查器
  • tclchecker -静态语法分析模块(作为 TDK).

TypeScript

  • Codelyzer -一组tslint规则,用于Angular 2 TypeScript项目的静态代码分析.
  • ESLint -TypeScript语言的可扩展linter.
  • tslint-clean-code -受《清洁规范》手册启发的一组TSLint规则.
  • tslint-microsoft-contrib -一组由Microsoft维护的Typelin项目的静态代码分析的tslint规则.

VBScript

  • Test Design Studio :copyright:-具有静态代码分析功能的完整IDE,用于Micro Focus统一功能测试,基于VBScript的自动化测试.

Multiple languages

  • AppChecker ©️ - Static analysis for C/C++/C#, PHP and Java
  • Application Inspector ©️ - Commercial Static Code Analysis which generates exploits to verify vulnerabilities. Supports: Java (including JSP and JSF), C#, VB.Net, ASP.NET, Php, JavaScript, Objective-C, Swift, C\C++, SQL (PL/SQL. T-SQL. MySQL), HTML5
  • AppScan Source ©️ - Commercial Static Code Analysis. Supports: Microsoft .NET Framework (C#, ASP.NET, VB.NET), ASP (JavaScript/VBScript), C/C++, COBOL, ColdFusion, JavaScript, JavaServer Pages (JSP), Java™ (including support for Android APIs), Perl, PHP, PL/SQL, T-SQL, Visual Basic 6
  • APPscreener ©️ - Static code analysis for binary and source code - Java/Scala, PHP, Javascript, C#, PL/SQL, Python, T-SQL, C/C++, ObjectiveC/Swift, Visual Basic 6.0, Ruby, Delphi, ABAP, HTML5 and Solidity
  • ArchUnit -对Java或Kotlin架构进行单元测试
  • Axivion Bauhaus Suite ©️ - Tracks down error-prone code locations, style violations, cloned or dead code, cyclic dependencies and more for C/C++, C#/.NET, Java and Ada 83/Ada 95
  • Checkmarx CxSAST ©️ - Commercial Static Code Analysis which doesn't require pre-compilation. Supports: Android (Java), Apex and VisualForce, ASP, C#, C/C++, Go, Groovy, HTML5, Java, JavaScript, Node.js, Objective C, Perl, PhoneGap, PHP, Python, Ruby, Scala, Swift, VB.NET, VB6, VBScript
  • ClassGraph -用于查询或可视化类元数据或类相关性的类路径和模块路径扫描程序. 支持JVM语言.
  • coala -用于创建代码分析的语言独立框架-支持 over 60 languages 默认
  • Cobra :copyright:-NASA喷气推进实验室的结构源代码分析器. 支持C,C ++,Ada和Python.
  • codeburner -提供统一的界面来对发现的问题进行排序并采取行动
  • CodeFactor ©️ - Static Code Analysis for C#, C, C++, CoffeeScript, CSS, Groovy, GO, JAVA, JavaScript, Less, Python, Ruby, Scala, SCSS, TypeScript.
  • CodeIt.Right ©️ - CodeIt.Right™ provides a fast, automated way to ensure that your source code adheres to (your) predefined design and style guidelines as well as best coding practices. Supported languages: C#, VB.NET.
  • CodeScene :copyright:-CodeScene优先考虑技术债务,查找社会模式并识别代码中的隐患.
  • cqc -检查js,jsx,vue,css,less,scss,sass和styl文件的代码质量.
  • Coverity ©️ - Synopsys Coverity supports 20 languages and over 70 frameworks including Ruby on rails, Scala, PHP, Python, JavaScript, TypeScript, Java, Fortran, C, C++, C#, VB.NET.
  • DeepSource :copyright:-深入的静态分析以监视源代码的质量和安全性. 支持Python和Go,并且可以在错误风险,安全性,反模式,性能,文档和样式等垂直方面检测600多种类型的问题. 与GitHub的本机集成.
  • Depends -分析Java,C / C ++,Ruby的代码元素的全面依赖关系.
  • DevSkim - Regex-based static analysis tool for Visual Studio, VS Code, and Sublime Text - C/C++, C#, PHP, ASP, Python, Ruby, Java, and others.
  • Fortify ©️ A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python (2.6, 2.7), Ruby (1.9.3), Swift, Scala, VB, and XML.
  • Goodcheck -基于正则表达式的可定制棉短绒
  • graudit - Grep rough audit - source code auditing tool - C/C++, PHP, ASP, C#, Java, Perl, Python, Ruby
  • Hound CI -在GitHub拉取请求中评论样式违规. 支持Coffeescript,Go,HAML,JavaScript,Ruby,SCSS和Swift.
  • imhotep -对提交到存储库中的提交进行评论,并检查语法错误和常规的掉毛警告.
  • Infer -用于Java,C和Objective-C的静态分析器
  • Klocwork :copyright:-针对C / C ++,Java和C的质量和安全性静态分析#
  • Kiuwan ©️ - Identify and remediate cyber threats in a blazingly fast, collaborative environment, with seamless integration in your SDLC. Python, C\C++, Java, C#, PHP and more
  • oclint -静态源代码分析工具,可提高C,C ++和Objective-C的质量并减少缺陷
  • pfff -Facebook用于多种语言的代码分析,可视化或保留样式源转换的工具
  • PMD - A source code analyzer for Java, Javascript, PLSQL, XML, XSL and others
  • Pronto -快速自动代码审查您的更改. 支持40多种语言的跑步者,包括Clang,Elixir,JavaSCript,PHP,Ruby等
  • pre-commit -用于管理和维护多语言预提交挂钩的框架.
  • PT.PM - An engine for searching patterns in the source code, based on Unified AST or UST. At present time C#, Java, PHP, PL/SQL, T-SQL, and JavaScript are supported. Patterns can be described within the code or using a DSL.
  • PVS-Studio :版权:-a(conditionally free for FOSS and individual developers) static analysis of C, C++, C# and Java code. For advertising purposes you can propose a large FOSS project for analysis by PVS employees . 支持CWE映射,MISRA和CERT编码标准.
  • Reviewdog -一种在任何代码托管服务中发布来自任何linter的评论评论的工具.
  • Security Code Scan - Security code analyzer for C# and VB.NET. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.
  • Semmle QL and LGTM :copyright:-使用对源代码的查询来查找安全漏洞,变体和关键代码质量问题. 自动审查PR代码; 对于公共GitHub / Bitbucket回购免费: LGTM.com.
  • shipshape -静态程序分析平台,允许自定义分析仪通过通用接口插入
  • SonarQube -SonarQube是管理代码质量的开放平台.
  • STOKE -用于x86_64指令集的编程语言不可知随机优化器. 它使用随机搜索来探索所有可能的程序转换的极高维空间
  • SmartDec Scanner ©️ - SAST tool which is capable of identifying vulnerabilities and undocumented features. The analyzer scans the source code and executables without debug info (i.e. binaries). Supports: Java/Scala/Kotlin, PHP, C#, JavaScript, TypeScript, VBScript, HTML5, Python, Perl, C/C++, Objective-C/Swift, PL/SQL, T-SQL, ABAP, 1C, Apex, Go, Ruby, Groovy, Delphi, VBA, Visual Basic 6, Solidity, Vyper, COBOL.
  • Synopsys ©️ - A commercial static analysis platform that allows for scanning of multiple languages (C/C++, Android, C#, Java, JS, PHP, Python, Node.JS, Ruby, Fortran, and Swift)
  • TscanCode - A fast and accurate static analysis solution for C/C++, C#, Lua codes provided by Tencent. Using GPLv3 license.
  • Undebt -基于语言的工具,可基于简单的模式定义进行大规模,自动,可编程的重构
  • Veracode :copyright:-在不需要源代码的情况下查找二进制文件和字节码中的缺陷. 支持所有主要的编程语言:Java,.NET,JavaScript,Swift,Objective-C,C,C ++等.
  • WALA -Java字节码和相关语言以及JavaScript的静态分析功能
  • WhiteHat Application Security Platform ©️ - WhiteHat Scout (for Developers) combined with WhiteHat Sentinel Source (for Operations) supporting WhiteHat Top 40 and OWASP Top 10. Language support for: Java, C#(.NET), ASP.NET, PHP, JavaScript, Node.js, Objective-C, Android, HTML5, TypeScript.
  • Wotan -可插拔的TypeScript和JavaScript linter
  • XCode :copyright:-XCode为 Clang's 静态代码分析器(C / C ++,Obj-C)

Other

Build tools

  • checkmake -生成文件的Linter / Analyzer
  • codechecker -Clang静态分析器的缺陷数据库和查看器扩展

Binaries

  • BinSkim -二进制静态分析工具,可为Windows可移植可执行文件提供安全性和正确性结果.
  • cwe_checker -cwe_checker在二进制可执行文件中找到易受攻击的模式.
  • Jakstab -Jakstab是基于抽象解释的集成反汇编和静态分析框架,用于设计可执行文件的分析并恢复可靠的控制流程图.
  • Twiggy -分析二进制文件的调用图以分析代码大小. 目标是减少二进制文件.

Containers

  • anchore -发现,分析和验证容器映像
  • clair -容器的漏洞静态分析
  • collector -在容器内运行任意脚本,并收集有用的信息
  • dagda -对Docker映像/容器中的已知漏洞执行静态分析.
  • Docker Label Inspector -整理和验证Dockerfile标签
  • Haskell Dockerfile Linter -更智能的Dockerfile Linter,可帮助您构建最佳实践Docker映像
  • kube-score -Kubernetes对象定义的静态代码分析.

Config Files

  • dotenv-linter -像魅力一样整理dotenv文件.
  • gixy -分析Nginx配置的工具. 主要目标是防止配置错误并自动进行缺陷检测.

Configuration Management

  • ansible-lint -检查剧本中可能会改善的做法和行为
  • cfn-lint -AWS Labs CloudFormation linter.
  • cfn_nag -适用于AWS CloudFormation模板的模板.
  • cookstyle -Cookstyle是基于RuboCop Ruby linting工具用于厨师食谱的整理工具
  • foodcritic -检查主厨食谱中常见问题的皮棉工具.
  • Puppet Lint -检查您的人偶清单是否符合样式指南.
  • terrascan -收集用于Terraform模板的静态代码分析的安全性和最佳实践测试.
  • tflint -Terraform linter,用于检测“ terraform plan”无法检测到的错误.

CSS

Gherkin

  • gherkin-lint -用Java语言编写的小黄瓜语法的短毛猫.

HTML

  • HTML Inspector -HTML Inspector是一种代码质量工具,可帮助您和您的团队编写更好的标记.
  • HTML Tidy -通过修复标记错误并将旧代码升级为现代标准来纠正和清理HTML和XML文档.
  • HTMLHint -用于HTML的静态代码分析工具
  • Polymer-analyzer -Web组件的静态分析框架.

IDE Plugins

  • ale -Vim和NeoVim的异步Lint引擎,支持多种语言
  • Attackflow Extension :copyright:-用于Visual Studio的Attackflow插件,它使开发人员无需任何先验知识就可以在源代码中实时发现关键的安全错误.
  • DevSkim -在线实时安全分析. 与多种编程语言和IDE(VS,VS Code,Sublime Text等)配合使用.
  • Puma Scan -开发团队在Visual Studio中编写代码时,Puma Scan可为常见漏洞(XSS,SQLi,CSRF,LDAPi,加密,反序列化等)提供实时安全代码分析.
  • Security Code Scan - Security code analyzer for C# and VB.NET that integrates into Visual Studio 2015 and newer. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.
  • vint -由Python实现的快速且高度可扩展的Vim脚本语言Lint.

LaTeX

  • ChkTeX -用于LaTex的短绒棉布,可捕获LaTeX监督的某些印刷错误.
  • lacheck -查找LaTeX文档中常见错误的工具.

Makefiles

  • portlint -FreeBSD和DragonFlyBSD端口目录的验证程序.

Markdown

  • markdownlint -用于Markdown / CommonMark文件的基于Node.js的样式检查器和lint工具.
  • mdl -检查Markdown文件和标志样式问题的工具.

Mobile

  • Android Lint -在Android项目上运行静态分析.
  • android-lint-summary -将多个项目的棉绒错误合并为一个输出,立即检查多个子项目的棉绒结果.
  • FlowDroid -适用于Android应用程序的静态污点分析工具
  • paprika -一个工具包,用于检测已分析的Android应用程序中的某些代码异味.
  • qark -查找多个与安全相关的Android应用程序漏洞的工具

Packages

  • lintian -Debian软件包的静态分析工具
  • rpmlint -用于检查rpm包中常见错误的工具

Supporting Tools

  • LibVCS4j -一个Java库,通过为不同的版本控制系统和问题跟踪器提供通用的API,允许现有工具分析软件系统的演变.
  • Violations Lib -用于从静态代码分析中解析报告文件的Java库. 由许多Jenkins,Maven和Gradle插件使用.

Template-Languages

  • ember-template-lint -灰烬的Ember或Handlebars模板.
  • haml-lint -用于编写干净且一致的HAML的工具
  • slim-lint -用于分析Slim模板的可配置工具
  • yamllint -检查YAML文件的语法有效性,键重复和外观问题,例如行长,尾随空格和缩进.

Translation

  • dennis -一组用于处理PO文件的实用程序,以简化开发并提高质量.

Writing

  • After the Deadline :警告:-拼写,样式和语法检查器
  • codespell -检查常见拼写错误的代码
  • languagetool -25种以上语言的样式和语法检查器. 它会发现许多简单的拼写检查器无法检测到的错误.
  • misspell-fixer -在源代码中修复常见拼写错误,错别字的快速工具
  • Misspelled Words In Context -拼写检查器,将可能的拼写错误归类并在上下文中显示
  • proselint -英文散文短篇小说,着重于写作风格而不是语法.
  • vale -用于散文的可自定义的,具有语法意识的linter.
  • write-good -重点消除“狡猾的单词”的短毛猫.

Web services

  • Codacy :copyright:-代码分析可以更快地发布更好的代码.
  • Code Climate :copyright:-面向所有人的开放和可扩展的静态分析平台.
  • Code Inspector :copyright:-支持10多种语言的代码质量和技术债务管理平台.
  • Codeac :copyright:-自动代码审查工具与GitHub,Bitbucket和GitLab(甚至是自托管)集成. 适用于JavaScript,TypeScript,Python,Ruby,Go,PHP,Java,Docker等. (免费开源)
  • CodeFactor :copyright:-在GitHub或BitBucket上针对仓库的自动代码分析.
  • CodeFlow :copyright:-自动代码分析工具来处理技术深度. 与Bitbucket和Gitlab集成. (对于开源项目免费)
  • CodePatrol :copyright:-由安全性驱动的自动SAST代码审查,支持15种以上的语言,并包括安全性培训.
  • Embold ©️ - Intelligent software analytics platform that identifies design issues, code issues, duplication and metrics. Supports Java, C, C++, C#, JavaScript, TypeScript, Python, Go, Kotlin and more.
  • kiuwan :copyright:-云中的软件分析支持超过22种编程语言.
  • Landscape :copyright:-Python的静态代码分析
  • Layered Insight :copyright:-容器本机应用程序保护,以提供对容器化应用程序的可见性和控制.
  • LGTM.com :copyright:-针对GitHub和Bitbucket的深入代码分析,以发现安全漏洞和关键代码质量问题(使用Semmle QL). 自动查看拉取请求的代码; 免费用于公共存储库.
  • Nitpick CI :copyright:-自动化PHP代码审查
  • PullRequest :copyright:-将代码审查作为具有内置静态分析的服务
  • QuantifiedCode -自动代码审查和修复
  • Reshift :copyright:-用于检测和管理Java安全漏洞的源代码分析工具.
  • Scrutinizer ©️ - A proprietary code quality checker that can be integrated with GitHub
  • SensioLabs Insight :copyright:-检测安全风险,查找错误并为PHP项目提供可操作的指标
  • Sider :copyright:-一个自动的代码检查工具. 提高开发人员的生产力.
  • Snyk :copyright:-漏洞扫描程序,用于依赖node.js应用程序(开放源代码项目免费)
  • SonarCloud :copyright:-基于多语言云的静态代码分析. 历史,趋势,安全热点,请求请求分析等. 免费开源.
  • Teamscale :copyright:-支持超过25种语言并直接集成IDE的静态和动态分析工具. 可根据要求免费托管开源项目. 提供免费的学术许可证.
  • Upsource :copyright:-具有Java,PHP,JavaScript和Kotlin的静态代码分析和代码感知导航的代码审查工具.

More collections

  • go-tools -使用Go代码的工具和库的集合,包括短绒和静态分析
  • linters -静态代码分析简介
  • php-static-analysis-tools -有用的PHP静态分析工具的完整列表
  • Tools for Tcl -具有多个Tcl检查器和静态语法分析工具的Wiki页面.
  • Wikipedia -用于静态代码分析的工具列表.

License

CC0

在法律允许的范围内, Matthias Endler 放弃了此作品的所有版权以及相关或邻近的权利. 标题图片 Designed by Freepik.