静态分析、测试工具..docVIP

静态代码分析、测试工具汇总 静态代码扫描，借用一段网上的原文解释一下 ( 这里叫静态检查 ) ：“静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行，充分发挥人的逻辑思维优势， 也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面；可以发现违背程序编写标准的问题，程序中不安全、不明确和模糊的部分，找出程序中不可移植部分、违背程序编程风格的问题，包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。”。 我看了一系列的静态代码扫描或者叫静态代码分析工具后，总结对工具的看法：静态代码扫描工具，和编译器的某些功能其实是很相似的，他们也需要词法分析，语法分析，语意分析 ...但和编译器不一样的是他们可以自定义各种各样的复杂的规则去对代码进行分析。 以下将会列出的静态代码扫描工具，会由于实现方法，算法，分析的层次不同，功能上会 差异很大。有的可以做 SQL注入的检查，有的则不能 ( 当然，由于时间问题还没有对规则进行研究，但要检查复杂的代码安全漏洞，是需要更高深分析算法的，所以有的东西应该不 是设置规则库就可以检查到的，但在安全方面的检查，一定程度上也是可以通过设置规则进行检查的 )。 主 工具名 静态扫描语言 开源 / 厂商 介绍 页 付费 网 址 VB.Net、C、 ounec5.0 C++和 C#， 付 Ounce Labs \ 还支持 费 Java。 还有其他辅助工具： 1.Coverity Thread Coverity C/C++,C#,JAV Analyzer for Java 付费 Coverity 2.Coverity Software Prevent A Readiness Manager for Java 3.Coverity Architecture Analyzer @stake SmartRisk? Analyzer harnesses the power of static analysis of binary executables @stake Symantec (C, C++, and Java) SmartRisk? C/C++,Java 付费 Corporatio to Analyzer n identify, categorize and prioritize security 。 注：在 Symantec 没有 搜到此产品？！ Provides memory Rational leak and memory C/C++,Java 付费 IBM corruption Purify detection for Windows，Runtime?! 微软用的静态分析工 具，但暂时没有找到 PREfix \ \ microsoft 下载 , \ 现在好像在考虑发布 中! 同时还有其他静态分 Jtext Java 付费 parasoft 析代码的产品， 如:C++Test... 详细请查询官网 用 Python 编写的 c、 c++程序安全审核工 flawfinder C/C++ 开源 \ 具， 可以检查潜在的安全 风险。 Static C/C++,C#,JAV Code 付费 Fortify \ Analyzer A Klocwork C/C++ ,Java 付费 Klocwork \ Insight PolySpace C/C++、 Ada 付费 MathWorks \ Client/Serve 语言 r C/C++, Python, rats Perl, 开源 \ \ PHP代码进行 安全审核的工 具 LAPSE stands for a Lightweight Analysis for Program Security in Eclipse. LAPSE is designed to help with the task of auditing Java J2EE LAPSE Java 开源 \ applications for common types of security vulnerabilities found in Web applications. LAPSE was developed by Benjamin Livshits as part of the Griffin Software Security Project. We have explored properties including: * race Fluid java 开源 \ conditions and locking policies,