浅淡静态代码分析工具

分类: Java2009-05-15 09:47 4102人阅读 评论(3) 收藏 举报

本帖hyddd原创,转载请标明

这两天看关于静态代码扫描的东东,一开始没什么头绪,搜了一下发现N多东西,整理一下写成文档,由于资料太多,还有很多东西没写上去。

静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背程序编程风格的问题,包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。”。

我看了一系列的静态代码扫描或者叫静态代码分析工具后,总结对工具的看法:静态代码扫描工具,和编译器的某些功能其实是很相似的,他们也需要词法分析,语法分析,语意分析...但和编译器不一样的是他们可以自定义各种各样的复杂的规则去对代码进行分析。

以下将会列出的静态代码扫描工具,会由于实现方法,算法,分析的层次不同,功能上会差异很大。有的可以做SQL注入的检查,有的则不能(当然,由于时间问题还没有对规则进行研究,但要检查复杂的代码安全漏洞,是需要更高深分析算法的,所以有的东西应该不是设置规则库就可以检查到的,但在安全方面的检查,一定程度上也是可以通过设置规则进行检查的)。

  以下我在网上搜集到的分析工具,我整理了以下挑了一些出来,这里只是一部分,另外一些可以到参考链接上看一下:

工具名 静态扫描语言 开源/付费 厂商 介绍 主页网址
ounec5.0 VB.Net、C、C++和C#,
还支持Java。 		付  费 Ounce Labs / http://www.ouncelabs.com/
Coverity Prevent C/C++,C#,JAVA 付费 Coverity 还有其他辅助工具:
1.Coverity Thread Analyzer for Java
2.Coverity Software Readiness Manager for Java
3.Coverity Architecture Analyzer 		http://www.coverity.com/index.html
@stake SmartRisk™
Analyzer 		C/C++,Java 付费 Symantec 
Corporation 		@stake SmartRisk™ Analyzer harnesses the power of 
static analysis of binary executables (C, C++, and Java) to 
identify, categorize and prioritize security。
注:在Symantec没有搜到此产品?! 		http://www.symantec.com/business/index.jsp
Rational Purify  C/C++,Java 付费 IBM Provides memory leak and memory corruption detection for 
Windows,Runtime?! 		http://www-01.ibm.com/software/awdtools/purify/
PREfix / / microsoft 微软用的静态分析工具,但暂时没有找到下载,
现在好像在考虑发布中! 		/
Jtext Java 付费 parasoft 同时还有其他静态分析代码的产品,如:C++Test...
详细请查询官网 		http://www.parasoft.com/jsp/cn/support.jsp
flawfinder C/C++ 开源 / 用Python编写的c、c++程序安全审核工具,
可以检查潜在的安全风险。 		http://www.dwheeler.com/flawfinder/
Static Code 
Analyzer 		C/C++,C#,JAVA 付费 Fortify / http://www.fortify.com/
Klocwork Insight C/C++ ,Java  付费 Klocwork / http://www.klocwork.com/products/insight.asp
PolySpace 
Client/Server 		C/C++、Ada语言 付费 MathWorks / http://www.mathworks.cn/
rats C/C++, Python,
 Perl, 
PHP代码进行安全审核的工具 		开源 / / http://www.fortify.com/security-resources/rats.jsp
LAPSE Java 开源 / LAPSE stands for a Lightweight Analysis for Program 
Security in Eclipse. LAPSE is designed to help with 
the task of auditing Java J2EE applications for common 
types of security vulnerabilities found in Web applications.
 LAPSE was developed by Benjamin Livshits as part of the 
Griffin Software Security Project.  		http://www.owasp.org/index.php/Category:OWASP_LAPSE_Project
Fluid java 开源 / We have explored properties including:

* race conditions and locking policies,
    * unique references and other programmer-significant
 aliasing properties,
    * effects,
    * appropriate typing,
    * realtime threading policies, and
    * single-threading policies.

 http://www.fluid.cs.cmu.edu:8080/Fluid
Splint C 开源 University of 
Virginia,
Department of
Computer
 Science 		静态检测针对C语言的安全工具和漏洞检测。 http://www.splint.org/
cqual C/C++ 开源 马里兰大学 轻量级的静态扫描器,在类Linux系统下运行。 http://www.cs.umd.edu/~jfoster/cqual/
MOPS C 开源 berkeley大学 MOPS is a tool for finding security bugs in C programs 
and for verifying conformance to rules of defensive programming 		http://www.cs.berkeley.edu/~daw/mops/
BOON  C 开源 berkeley大学 BOON is a tool for automatically finding buffer overrun 
vulnerabilities in C source code. Buffer overruns are one
 of the most common types of security holes, and we hope 
that BOON will enable software developers and code auditors
 to improve the quality of security-critical programs.  		http://www.cs.berkeley.edu/~daw/boon/
BLAST C 开源 The BLAST 
2.0 Team 		BLAST is a software model checker for C programs.  
The goal of BLAST is to be able to check that software
 satisfies behavioral properties of the interfaces it uses.
 BLAST uses counterexample-driven automatic abstraction
 refinement to construct an abstract model which is model
 checked for safety properties. The abstraction is constructed
 on-the-fly, and only to the required precision. 		http://mtc.epfl.ch/software-tools/blast/
SpikeWAMP Php 开源 / for analyzing PHP programs http://developer.spikesource.com/wiki/index.php/SpikeWAMP
Pixy Php 开源 / Finding XSS and SQLI vulnerabilities http://pixybox.seclab.tuwien.ac.at/pixy/
Mike Java 开源 / Java source code security scanner built on top of Orizon.
 They are connected to OWASP. 		http://milk.sourceforge.net/download.html
Smatch C 开源 / / http://smatch.sourceforge.net/
Oink C++ 开源 / C++ Static Analysis Tools http://www.cubewano.org/oink
Frama-C C 开源 / static analyzers for the C language. http://frama-c.cea.fr/
RTL-check / 开源 / RTL-check is an extensible and powerful abstract interpretation
 framework for static analysis of programs from a safety and
 security perspective 		http://rtlcheck.sourceforge.net/
PMD Java 开源 / PMD scans Java source code and looks for potential problems like:

* Possible bugs - empty try/catch/finally/
switch statements
    * Dead code - unused local variables, parameters
 and private methods
    * Suboptimal code - wasteful String/StringBuffer usage
    * Overcomplicated expressions - unnecessary if statements,
 for loops that could be while loops
    * Duplicate code - copied/pasted code means copied/pasted bugs

 http://pmd.sourceforge.net/
FindBugs Java 开源 马里兰大学 uses static analysis to look for bugs in Java code.
注意:提供Eclipse插件。 		http://findbugs.sourceforge.net/
ITS4 C/C++ 开源 / Cigital developed ITS4 to help automate source code
 review for security. 		http://www.cigital.com/its4/
QJ-Pro Java 开源 / QJ-Pro is a comprehensive software inspection tool targeted 
towards the software developer.

QJ-Pro checks:
    * conformance to coding standards,
    * misuse of the Java language,
    * best practice conformence
    * code structure and
    * potential bugs at the earliest stages of development.
注意:提供各种IDE插件!

 http://qjpro.sourceforge.net/
Jint Java 开源 / Jlint will check your Java code and find bugs, inconsistencies
 and synchronization problems by doing data flow analysis and
 building the lock graph. 		http://artho.com/jlint/
Hammurapi Java 开源 / code review system captures coding best practices and delivers
 them to developers' fingertips. It also generates consolidated
 reports for lead developers, architects, and managers to
 monitor codebase quality and evolution. 		http://www.hammurapi.biz/hammurapi-biz/ef/xmenu/hammurapi-group/index.html
DoctorJ Java 开源 / Among what it detects:

* misspelled words
    * parameter and exception names:
          o missing
          o misordered
          o misspelled
    * Javadoc tags:
          o invalid
          o misordered
          o missing expected arguments
          o invalid arguments
          o missing descriptions
    * undocumented classes, methods, fields, 
parameters

 http://www.incava.org/projects/java/doctorj/index.html
Dependency Finder Java 开源 / Dependency Finder is a suite of tools for analyzing
compiled Java code. At the core is a powerful dependency
analysis application that extracts dependency graphs and
mines them for useful information. This application comes
in many forms for your ease of use, including command-line 
tools, a Swing-based application, a web application ready
to be deployed in an application server, and a set of Ant
tasks. 		http://depfind.sourceforge.net/
Checkstyle Java 开源 / Checkstyle is a development tool to help programmers
 write Java code that adheres to a coding standard.
 It automates the process of checking Java code to spare
 humans of this boring (but important) task. This makes
 it ideal for projects that want to enforce a coding standard. 
注意:提供多种IDE的插件。 		http://checkstyle.sourceforge.net/
Classycle Java 开源 / Classycle's Analyser analyses the static class and package
 dependencies in Java applications or libraries. 		http://classycle.sourceforge.net/
JDepend  Java 开源 / JDepend traverses Java class file directories and generates
 design quality metrics for each Java package. 
JDepend allows you to automatically measure the quality
 of a design in terms of its extensibility, reusability,
and maintainability to manage package dependencies effectively.  		http://www.clarkware.com/software/JDepend.html
JCSC Java 开源 / JCSC is a powerful tool to check source code against a highly
 definable coding standard and potential bad code. 		http://jcsc.sourceforge.net/

......

以下是直接提供代码检查/相关帮助的厂商:

Fortify:  http://www.fortify.com/

ASPECT:  http://www.aspectsecurity.com/

OWASP:    http://www.owasp.org/index.php/Main_Page

securitycompass: http://www.securitycompass.com/resources.shtml

参考资料:

1. http://www.dwheeler.com/flawfinder/

2. http://www.java2s.com/Product/Java/Byte-Source-Code/Source-Analysis-Diagram.htm

3. http://www.softwarelist.cn/?fsid=53&cid=530&cpath=ABAN

4. http://www.hacker.com.cn/article/view_14804.html

5. http://www.cs.cmu.edu/~aldrich/courses/654/tools/

注:以上链接列举了大量相关工具

浅淡静态代码分析工具相关推荐

  1. 软文推荐:常用 Java 静态代码分析工具的分析与比较

    http://www.uml.org.cn/j2ee/201107114.asp 常用 Java 静态代码分析工具的分析与比较 作者:赵卓 , 发布于2011-07-11 , IBM 简介: 本文首先 ...

  2. PVS-Studio C/C++/C++11 静态代码分析工具

    PVS-Studio C/C++/C++11 静态代码分析工具 静态代码分析仪是一种检测代码缺陷.分析对比 商业代码的工具,它分析源代码和它生成的目标 文件,但并不实际运行源代码.应用于对安全性. 稳 ...

  3. 2021.C/C++静态代码分析工具

    静态代码分析工具 1 cppcheck 静态代码分析工具 1 cppcheck 静态代码分析工具 参考博客 使用cppcheck检测代码警告.错误 ubuntu下安装cppcheck sudo apt ...

  4. OOM分析(1) Android 源,如何分析android的OOM,与java静态代码分析工具

    用MAT分析OOM 很多OOM看似发生在bitmap 分配得时候,但它一般不是rootcause.根本原因都在于本应该自动释放的资源,因为代码的错误,而导致某些对象一直被引用(Reference),例 ...

  5. 如何分析android的OOM,与java静态代码分析工具

    2019独角兽企业重金招聘Python工程师标准>>> 用MAT分析OOM 很多OOM看似发生在bitmap 分配得时候,但它一般不是rootcause.根本原因都在于本应该自动释放 ...

  6. 静态代码分析工具列表分析---代码分析工具列表(30款工具)

    本文是一个静态代码分析工具的清单,共有30个工具.包括4个.NET工具.2个Ada工具.7个C++工具.4个Java工具.2个JavaScript工具.1个Opa工具.2个Packaging工具.3个 ...

  7. 静态代码分析工具清单:开源篇(各语言)

    本文是一个静态代码分析工具的清单,共有26个工具.包括4个.NET工具.2个Ada工具.7个C++工具.4个Java工具.2个JavaScript工具.1个Opa工具.2个Packaging工具.3个 ...

  8. 静态代码分析工具清单:开源篇

    http://hao.jobbole.com/static_code_analysis_tool_list_opensource_lang/?utm_source=blog.jobbole.com&a ...

  9. 静态代码分析工具汇总

    静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):"静态测试包括代码检查.静态结构分析.代码质量度量等.它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行.代码 ...

  10. 静态代码分析工具列表--常用静态代码分析工具介绍

    代码检测简介 本文是一个静态代码分析工具的清单,但是为公司产品需要付费使用.共有37个公司,有些公司包含多个工具.其中27个公司有多语言 工具,1个公司为PHP工具.2个公司为.NET工具.1个公司为 ...

最新文章

  1. weblogic修改java重启_修改weblogic域的jdk
  2. zigbee 串口不稳定_基于项目的ZigBee系统组网介绍
  3. 用python绘制漂亮的图形-用Python画一些漂亮图形--Quora代码赏析
  4. 如何实现一个Java Class解析器
  5. 【HDU - 3499】 Flight (单源最短路+优惠问题)
  6. python基础列表(四)
  7. 数据:尽管严禁加密货币,中国拥有最多区块链专利
  8. 设计模式之装饰器模式
  9. 提高信息技术课堂教学实效研究 课题论证报告
  10. 天原笔记(3)气旋与反气旋
  11. Python绘制玫瑰花
  12. matlab含未知数矩阵方程组,solve函数求解含有未知数的矩阵方程问题
  13. Python 虚拟环境的使用
  14. 网页css实现文字竖向排版的几种方法
  15. TransformAnimation - 一个超简单的导航转换动画
  16. torch norm() Formalize()
  17. 手把手搭建Java金融借贷系统【附源码】(毕设)
  18. 思科配置VLAN的实例
  19. geogebra mac版【多平台的动态数学教育软件】
  20. Halcon解决方案指南(16)一维码识别

热门文章

  1. PyCharm2017破解步骤
  2. Python学习week6--类
  3. java计算机毕业设计自修室座位预约系统源码+数据库+系统+lw文档+mybatis+运行部署
  4. [论文阅读]LDSA:Learning Dynamic Subtask Assignment in Cooperative Multi-Agent Reinforcement Learning
  5. 闲鱼双11端侧实践总结
  6. Simulink高级应用—— Matlab Function中共享或使用全局变量或全局数据
  7. QPushButton如何设置按下效果
  8. Window应急响应(七 NesMiner挖矿病毒)
  9. 分析mrp主要应用范围_MRP适用于相关需求的计划与控制
  10. 路由器密码重置(不是适用于所有有些启动顺序数字不一样)