fucking static analysis

このリポジトリには、すべてのプログラミング言語、ビルドツール、構成ファイルなどの静的分析ツールがリストされています。焦点は、リナーやフォーマッタなどのコード品質を向上させるツールにあります。公式ウェブサイト、？ Analysis-tools.devはこのリポジトリに基づいており、各ツールのビデオなどのランキング、ユーザーコメント、および追加のリソースを追加します。

このプロジェクトは、スポンサーの寛大なサポートなしでは不可能です。

このプロジェクトもサポートしたい場合は、私たちに向かいますか? ?? GitHubスポンサーページ）。

• ©♥は独自のソフトウェアの略です。他のすべてのツールはオープンソースです。
• コミュニティは、このツールを新しいプロジェクトに使用することを推奨していないことを示しています。アイコンはディスカッションの問題にリンクします。
• ショ和このツールが1年以上更新されなかったか、リポジトリがアーカイブされたことを意味します。

プルリクエストは大歓迎です！
姉妹プロジェクト958 106?素晴らしいダイナミック分析）。

• abap
• エイダ
• 組み立て
• awk
• c
• C＃
• C ++
• Clojure
• coffeescript
• コールドフュージョン
• 結晶
• ダート
• デルフィ
• dlang
• エリクサー
• エルム
• エルラン
• F＃
• Fortran
• 行く
• グルーヴィー
• ハスケル
• ハックス
• Java
• JavaScript
• ジュリア
• コトリン
• ルア
• マトラブ
• nim
• ocaml
• Php
• PL/SQL
• Perl
• Python
• r
• レゴ
• ルビー
• さび
• SQL
• スカラ
• シェル
• 迅速
• TCL
• タイプスクリプト
• verilog/systemverilog
• VIMスクリプト

• ？ abaplint - abap用のリナー、タイプスクリプトで書かれています。

• ？ abapopenchecks - 新しいカスタマイズ可能なチェックでSAPコード検査官を強化します。

• ？ Codepeer©€ - 実行時間とロジックエラーを検出します。

• ？ ADAの多面的なPolyspace©€ - オーバーフロー、ゼロごと、バウンドアレイアクセス、およびソースコードに他の特定のランタイムエラーがないことを証明するコード検証を提供します。

• ？ Spark©♥ - ADAの静的分析と正式な検証ツールセット。

• 749 75?ストーク）ショ和 - x86_64命令セットのプログラミング言語不可知論の確率論。ランダム検索を使用して、すべての可能なプログラム変換の非常に高次元空間を探索します。

• ？ Gawk - lint - 他のawk実装に対して疑わしい、または輸入できないコンストラクトについて警告します。

• ？ Astree©€ - Astreeは、C/C ++アプリケーションでのランタイムエラーと無効な同時動作がないことを自動的に証明します。これは、非常に高速で、非常に正確な浮動小数点計算に適しています。アナライザーはまた、MISRA/CERT/CWE/Adaptive Autosarコーディングルールをチェックし、ISO 26262、DO-178CレベルA、およびその他の安全基準の資格をサポートしています。 JenkinsとEclipseプラグインが利用可能です。

• CBMC - Cプログラム、ユーザー定義のアサーション、標準アサーション、いくつかのカバレッジメトリック分析用の境界モデルチェッカー。

• ？ Clang-Tidy - 問題を修正する（限られた）能力を備えたClangベースのC ++リンターツール。

• 672 94? Clazy） - Clangフレームワークに基づくQT指向の静的コードアナライザー。 Clazyは、ClangがQTセマンティクスを理解できるコンパイラプラグインです。不要なメモリの割り当てから、自動リファクタリング用のFIX-ITを含むAPIの誤用に至るまで、50を超えるQT関連のコンパイラ警告が表示されます。

• 72 27? cmetrics） - Cファイルのサイズと複雑さを測定します。

• ？ CPachecker - Cプログラムの構成可能なソフトウェア検証のためのツール。 Cpacheckerという名前は、ツールがCPAの概念に基づいており、ソフトウェアプログラムのチェックに使用されることを反映するために選択されました。

• ？ CPPCHECK - C/C ++コードの静的分析。

• ？ cppdepend©× - コードを測定、照会、視覚化し、予期しない問題、技術的な負債、複雑さを回避します。

• 37674 13306? cpplint） - Googleのスタイルガイドに続く自動化されたC ++チェッカー。

• 64 11? CQMetrics） - Cコードの品質メトリック。

• ？ CSCOUT - CおよびCプリプロセッサコードの複雑さと品質メトリック。

• 14 3? ENRE-CPP） - ENRE（エンティティ関係抽出器）は、ソースコードからコードエンティティの依存関係または関係を抽出するためのツールです。 ENRE-CPPは、 @eclipse/cdtに基づくC/C ++のエンティティ関係抽出器です。 （開発中）

• ESBMC - ESBMCは、単一およびマルチスレッドC/C/C ++プログラムの検証のための満足度モジュロ理論に基づいて、許可されたコンテキストに縛られたモデルチェッカーであり、オープンソースです。

• Flawfinderショ和 - 可能なセキュリティの弱点を見つけます。

• 266 21? Flint ++）ショ和 - Facebookで開発および使用されるC ++の糸くずプログラムであるフリントのクロスプラットフォーム、ゼロ依存ポートのポート。

• ？ FRAMA-C - Cコードのサウンドと拡張可能な静的分析器。

• ？ GCC - GCCコンパイラには、バージョン10以降、静的分析機能があります。このオプションは、Analyzer Support EnabledでGCCが構成されている場合にのみ使用できます。また、診断をSARIF形式（V13から）でJSONファイルに出力することもできます。

• ？ Goblint - マルチスレッドCプログラムの分析のための静的分析器。その主な焦点はデータレースの検出ですが、バッファオーバーフローやヌルポインターの逆方向など、他のランタイムエラーも報告しています。

• ？ Helix QAC©€ - 埋め込まれたソフトウェアのエンタープライズグレードの静的分析。 Misra、CERT、およびAutosarコーディング基準をサポートします。

• 2771 191? IKOS） - LLVMに基づくC/C ++コードのサウンド静的分析器。

• ？ Joern - コードプロパティグラフに基づくC/C ++のオープンソースコード分析プラットフォーム

• Klee - LLVMコンパイラインフラストラクチャの上に構築された動的なシンボリック実行エンジン。テストケースができるだけ多くのプログラムを行使するように、プログラムのテストケースを自動生成できます。

• ？ LDRA©il - MISRA C＆C ++、JSF ++ AV、CWE、CERT C、CERT C ++＆CUSTOLルールなど、さまざまな標準への静的分析（TBVision）を含むツールスイート。

• ？メイトショ和 - CおよびC ++コードでのバグのハンティングに焦点を当てたインタラクティブプログラム分析のための一連のツール。 MATEは、コードプロパティグラフ（CPG）を使用してアプリケーション固有および低レベルの脆弱性分析を統合し、実装の詳細とターゲットC/C ++プログラムの高レベルセマンティクスの両方に依存する高度にアプリケーション固有の脆弱性の発見を可能にします。

• ？ PC-LINT©€ - C/C ++の静的分析。 Windows/Linux/macosの下でネイティブに実行されます。 C11/C18およびC ++ 17をサポートする、ほぼすべてのプラットフォームのコードを分析します。

• ？ Phasar - LLVMベースの静的分析フレームワークは、汚染およびタイプ状態分析を備えています。

• ？ Polyspace Bug Finder©♥ - 実行時エラー、並行性の問題、セキュリティの脆弱性、およびCおよびC ++組み込みソフトウェアのその他の欠陥を識別します。

• ？ Polyspace Code Prover©♥ - オーバーフロー、ゼロごと、バウンド外配列アクセス、およびCおよびC ++ソースコードの特定の実行時間エラーがないことを証明するコード検証を提供します。

• ？ SCAN-BUILD - フロントエンドでは、通常のビルドを介してClang Static Analyzerを駆動します。

• スプリント - 注釈補助静的プログラムチェッカー。

• ？ SVF - CおよびC ++プログラムのスケーラブルで正確な介在性依存分析を可能にする静的ツール。

• ？ Trustinsoft Analyzer©収 - コーディングエラーとそれに関連するセキュリティの脆弱性の徹底的な検出。これには、未定義の動作検出が含まれます（バッファオーバーフロー、バウンドアウトアレイアクセス、ヌルポインターの逆方向、ゼロごとのゼロ、未知のメモリアクセス、署名されたオーバーフロー、無効なポインター算術など）。 C18およびC ++までのCのすべてのバージョンは、C ++ 20までサポートされています。 Trustinsoft Analyzerは、Q2'2023（TCL3）でISO 26262の資格を取得します。 Misra Cチェッカーもバンドルされています。

• ？ Vera ++ショ和 - Vera ++は、C ++ソースコードの検証、分析、変換のためのプログラム可能なツールです。

• .NETアナライザー - .NETコンパイラプラットフォームを使用したアナライザーの開発（診断とコード修正）の組織。

• 949 61? ArchUnitnet） - AC＃アーキテクチャテストライブラリを使用して、自動テストのためにC＃でアーキテクチャルールを指定および主張します。

• ？ Code-Cracker - Roslynを使用してリファクタリング、コード分析、その他のNicetiesを作成するC＃およびVBの分析装置ライブラリ。

• 160 26? csharpessentials）ショ和 - C＃Essentialsは、C＃6言語機能を簡単に操作できるようにするRoslyn診断分析装置、コード修正、リファクタリングのコレクションです。

• 著名な©il - さまざまなアーキテクチャ、設計、および実装の臭いの検出、さまざまなコード品質メトリックの計算、およびトレンド分析をサポートしています。

• ？ Gendarme - Gendarmeは、ECMA CIL形式（Monoおよび.NET）のコードを含むプログラムとライブラリを検査します。

• 737 29?推測＃）ショ和 - Ersharp（推測とも呼ばれます）は、C＃のための介入およびスケーラブルな静的コードアナライザーです。 Facebookの推測の機能を介して、このツールはnullポインターの抑制率とリソースリークを検出します。

• 965 51? Meziantou.Analyzer） - 設計、使用、セキュリティ、パフォーマンス、スタイルの観点から、C＃のいくつかの優れたプラクティスを実施するRoslynアナライザー。

• ndepend©× - コードを測定、クエリ、視覚化し、予期しない問題、技術的な負債、複雑さを回避します。

• ？ PUMAスキャン - PUMAスキャンは、開発チームがVisual Studioでコードを書く際に、共通の脆弱性（XSS、SQLI、CSRF、LDAPI、Crypto、Deserializationなど）のリアルタイムセキュアコード分析を提供します。

• 3128 263? Roslynator） - ロスリンを搭載した190以上のアナライザーと190以上のリファクタリングのコレクション。

• 803 229? Sonaranalyzer.csharp） - これらのRoslynアナライザーを使用すると、コードベースでバグ、脆弱性、コードの臭いを見つけて修正するのを支援することで、安全で信頼性があり、保守可能なクリーンなコードを作成できます。

• 65 16? vsdiagnostics）ショ和 - Vsと統合するRoslynに基づく静的アナライザーのコレクション

• 91 10? wintellect.analyzers） - .netコンパイラプラットフォーム（ "Roslyn"）診断分析装置とコード修正。

• ？ Astree©€ - Astreeは、C/C ++アプリケーションでのランタイムエラーと無効な同時動作がないことを自動的に証明します。これは、非常に高速で、非常に正確な浮動小数点計算に適しています。アナライザーはまた、MISRA/CERT/CWE/Adaptive Autosarコーディングルールをチェックし、ISO 26262、DO-178CレベルA、およびその他の安全基準の資格をサポートしています。 JenkinsとEclipseプラグインが利用可能です。

• CBMC - Cプログラム、ユーザー定義のアサーション、標準アサーション、いくつかのカバレッジメトリック分析用の境界モデルチェッカー。

• ？ Clang-Tidy - 問題を修正する（限られた）能力を備えたClangベースのC ++リンターツール。

• 672 94? Clazy） - Clangフレームワークに基づくQT指向の静的コードアナライザー。 Clazyは、ClangがQTセマンティクスを理解できるコンパイラプラグインです。不要なメモリの割り当てから、自動リファクタリング用のFIX-ITを含むAPIの誤用に至るまで、50を超えるQT関連のコンパイラ警告が表示されます。

• 72 27? cmetrics） - Cファイルのサイズと複雑さを測定します。

• ？ CPPCHECK - C/C ++コードの静的分析。

• ？ cppdepend©× - コードを測定、照会、視覚化し、予期しない問題、技術的な負債、複雑さを回避します。

• 37674 13306? cpplint） - Googleのスタイルガイドに続く自動化されたC ++チェッカー。

• 64 11? CQMetrics） - Cコードの品質メトリック。

• ？ CSCOUT - CおよびCプリプロセッサコードの複雑さと品質メトリック。

• 14 3? ENRE-CPP） - ENRE（エンティティ関係抽出器）は、ソースコードからコードエンティティの依存関係または関係を抽出するためのツールです。 ENRE-CPPは、 @eclipse/cdtに基づくC/C ++のエンティティ関係抽出器です。 （開発中）

• ESBMC - ESBMCは、単一およびマルチスレッドC/C/C ++プログラムの検証のための満足度モジュロ理論に基づいて、許可されたコンテキストに縛られたモデルチェッカーであり、オープンソースです。

• Flawfinderショ和 - 可能なセキュリティの弱点を見つけます。

• 266 21? Flint ++）ショ和 - Facebookで開発および使用されるC ++の糸くずプログラムであるフリントのクロスプラットフォーム、ゼロ依存ポートのポート。

• ？ FRAMA-C - Cコードのサウンドと拡張可能な静的分析器。

• ？ Helix QAC©€ - 埋め込まれたソフトウェアのエンタープライズグレードの静的分析。 Misra、CERT、およびAutosarコーディング基準をサポートします。

• 2771 191? IKOS） - LLVMに基づくC/C ++コードのサウンド静的分析器。

• ？ Joern - コードプロパティグラフに基づくC/C ++のオープンソースコード分析プラットフォーム

• Klee - LLVMコンパイラインフラストラクチャの上に構築された動的なシンボリック実行エンジン。テストケースができるだけ多くのプログラムを行使するように、プログラムのテストケースを自動生成できます。

• ？ LDRA©il - MISRA C＆C ++、JSF ++ AV、CWE、CERT C、CERT C ++＆CUSTOLルールなど、さまざまな標準への静的分析（TBVision）を含むツールスイート。

• ？メイトショ和 - CおよびC ++コードでのバグのハンティングに焦点を当てたインタラクティブプログラム分析のための一連のツール。 MATEは、コードプロパティグラフ（CPG）を使用してアプリケーション固有および低レベルの脆弱性分析を統合し、実装の詳細とターゲットC/C ++プログラムの高レベルセマンティクスの両方に依存する高度にアプリケーション固有の脆弱性の発見を可能にします。

• ？ PC-LINT©€ - C/C ++の静的分析。 Windows/Linux/macosの下でネイティブに実行されます。 C11/C18およびC ++ 17をサポートする、ほぼすべてのプラットフォームのコードを分析します。

• ？ Phasar - LLVMベースの静的分析フレームワークは、汚染およびタイプ状態分析を備えています。

• ？ Polyspace Bug Finder©♥ - 実行時エラー、並行性の問題、セキュリティの脆弱性、およびCおよびC ++組み込みソフトウェアのその他の欠陥を識別します。

• ？ Polyspace Code Prover©♥ - オーバーフロー、ゼロごと、バウンド外配列アクセス、およびCおよびC ++ソースコードの特定の実行時間エラーがないことを証明するコード検証を提供します。

• ？ SCAN-BUILD - フロントエンドでは、通常のビルドを介してClang Static Analyzerを駆動します。

• スプリント - 注釈補助静的プログラムチェッカー。

• ？ SVF - CおよびC ++プログラムのスケーラブルで正確な介在性依存分析を可能にする静的ツール。

• ？ Trustinsoft Analyzer©収 - コーディングエラーとそれに関連するセキュリティの脆弱性の徹底的な検出。これには、未定義の動作検出が含まれます（バッファオーバーフロー、バウンドアウトアレイアクセス、ヌルポインターの逆方向、ゼロごとのゼロ、未知のメモリアクセス、署名されたオーバーフロー、無効なポインター算術など）。 C18およびC ++までのCのすべてのバージョンは、C ++ 20までサポートされています。 Trustinsoft Analyzerは、Q2'2023（TCL3）でISO 26262の資格を取得します。 Misra Cチェッカーもバンドルされています。

• ？ Vera ++ショ和 - Vera ++は、C ++ソースコードの検証、分析、変換のためのプログラム可能なツールです。

• 1726 293? clj-kondo） - 喜びを引き起こすClojureコードのリナー。タイピング中の潜在的なエラーについてお知らせします。

• ？ coffeelintショ和 - コーヒースクリプトコードを清潔で一貫性を保つのに役立つスタイルチェッカー。

• ？ Fixinator©€ - ColdFusionまたはCFMLコードの静的セキュリティコード分析。 CIパイプライン内または開発者端末から作業するように設計されています。

• ？ AMEBA - クリスタル用の静的コード分析ツール。

• ？ CRYSTAL - Crystal Compilerには、糸くずの機能が組み込まれています。

• ？ DARTコードメトリックショ和 - DART用の追加リナー。レポートコードメトリック、アンチパターンのチェック、DARTアナライザーの追加ルールを提供します。

• ？ effection_dart - 効果的なダーツのガイドラインに対応するリンタールール

• 277 82?リント）ショ和 - DARTプロジェクトとフラッタープロジェクトのリントルールの意見を述べた、コミュニティ主導のセット。 Pedanticのように、しかしより厳しい

• ？ダート用のリナー - ダート用のスタイルリナー。

• 100 16? Delphilint） - オンザフライコード分析と糸くずを提供するDelphi IDEパッケージ、Sonardelphiを搭載しています。

• ？ Insightの修正©€ - 静的コード分析のための無料のIDEプラグイン。プロエディションには、自動化のためのコマンドラインツールが含まれています。

• ？ Pascal Analyzer©♥ - 多数のレポートを含む静的コード分析ツール。限られたレポートで無料のLiteバージョンを利用できます。

• ？ Pascal Expert©€ - コード分析用のIDEプラグイン。 Pascal Analyzerレポート機能のサブセットが含まれており、Delphiバージョン2007以降で利用できます。

• 110 19? Sonardelphi） - Sonarqube Code Quality PlatformのDelphi静的分析器。

• 241 80? D-Scanner） - D-Scannerは、Dソースコードを分析するためのツールです。

• 4951 420? Credo） - コードの一貫性と教育に焦点を当てた静的コード分析ツール。

• 1720 142? Dialyxir） - タスクを組み合わせて、ElixirプロジェクトでのDialyzerの使用を簡素化します。

• 1693 96? SOBELOW） - フェニックスフレームワークのセキュリティ中心の静的分析。

• ？エルムアナリスショ和 - ELMコードを分析し、欠陥を特定し、ベストプラクティスを適用できるツール。

• ？ ELM-REVIEW - ELMプロジェクト全体を分析し、ELMコンパイラが提供しない保証を追加するエルムで書かれた共有可能およびカスタムルールに焦点を当てています。

• ？ Dialyzer - The Dialyzer、Erlangプログラムの不一致アナライザー。 Dialyzerは、明確なタイプエラー、プログラミングエラーのために死んだか到達できないコード、および単一のErlangモジュールまたは（セットの）アプリケーション全体で不必要なテストなどのソフトウェアの不一致を識別する静的分析ツールです。 Dialyzerは、デバッグコンパイルされたビームバイトコードまたはErlangソースコードのいずれかから分析を開始します。矛盾のファイルと行番号は、矛盾が何であるかを示すこととともに報告されます。 Dialyzerは、成功タイピングの概念に分析しているため、健全な警告が可能になります（誤検知はありません）。

• 425 87?エルビス） - エルランスタイルのレビュー担当者。

• 103 11?プリミティブエルランセキュリティツール（害虫））ショ和 - Erlangソースコードの基本スキャンを実行し、Erlangソースコードを不安定にする可能性のある関数呼び出しを報告するツール。

• ？ Fantomas - F＃ソースコードフォーマッタ。

• ？ fsharplint - F＃のリントツール。

• ？ Ionide-Analyzers - FSharp.analyzers.sdkで構築されたF＃アナライザーのコレクション。

• ？ fprettify - Pythonで記述された最新のFortranソースコード用の自動フォーマッター。 fprettifyは、レターケースを変更してプリプロセッサのディレクティブを処理する機能を含む、コードの一貫した空白、インデンテーション、およびデリミッターアライメントを提供するツールです。

• 62 17? Fortran用のi-Code CNES） - Fortran 77、Fortran 90、およびシェル用のオープンソースの静的コード分析ツール。

• ？ alignheck - 非効率的な梱包された構造体を見つけます。

• 314 33? Bodyclose） - HTTP応答ボディが閉じているかどうかを確認します。

• 50 15? DeadCode） - 未使用のコードを見つけます。

• 316 28?ディンゴハンター）ショ和 - ゴーでデッドロックを見つけるための静的アナライザー。

• 73 2?ドッグスル） - 空白の識別子が多すぎる割り当て/宣言を見つけます。

• 346 25?デュプル）ショ和 - 潜在的に複製されたコードを報告します。

• 2365 138? errcheck） - エラー戻り値が使用されていることを確認します。

• 372 16? errwrap） - 新しい％w動詞ディレクティブを使用してエラーをラップおよび修正します。このツールは、FMT.ERRORF（）呼び出しを分析し、GO v1.13で導入された新しいw動詞指令とは異なる動詞指令を含む呼び出しをレポートします。また、新しい％Wラップ動詞指令を使用するために電話を書き直すこともできます。

• 51 4? FLEN） - GOパッケージの機能の長さに関する情報を取得します。

• 3507 267?メタリンターに行く）ショ和 - 同時に糸くずツールを実行し、それらの出力を正規化します。新しいプロジェクトにはgolangci-lintを使用してください。

• ？ Go Tool VET -HET - Shadow - 意図せずに隠されている可能性のある変数を報告します。

• ？ GO VET - GOソースコードを調べ、疑わしい報告を調べます。

• 339 16? Go-Consinstent） - GOプログラムをより一貫性にするのに役立つアナライザー。

• 1873 117? GO-CRITIC） - 他のリンジターに現在実装されていないチェックを維持するソースコードリナーをGOにします。

• ？ Go/AST - パッケージASTは、GOパッケージの構文ツリーを表すために使用されるタイプを宣言します。

• 61 2?ゴート）ショ和 - AST（要約構文ツリー）ベースの静的分析ツールをREGOに渡します。

• 105 12? gochecknoglobals）ショ和 - グローバルが存在しないことを確認します。

• 296 17? GoConst） - 定数に置き換えることができる繰り返しの文字列を見つけます。

• 1388 83?ゴシクロ）ショ和 - GOソースコードの関数の環状複雑さを計算します。

• ？ GOFMT -S - コードが適切にフォーマットされており、さらに簡素化できなかったかどうかを確認します。

• 3390 113? gofumpt） - 後方互換性がありながら、 gofmtよりも厳しい形式を実施します。つまり、 gofumpt gofmtが満足している形式のサブセットに満足しています。このツールは、GO 1.19の時点でgofmtのフォークであり、Go 1.18以降が必要です。 GOコードをフォーマットするためにドロップインの交換として使用でき、GoFumptが変更されない後にGOFMTを実行できます。 gofumpt 、 gofmtフォーマットに同意しないルールを追加することはありません。したがって、 gofmt競合するのではなく、拡張します。

• ？ GOIMPORTS - 欠落または参照されていないパッケージのインポートをチェックします。

• 2181 110? Gokart） - 誤検知を最小限に抑えることに焦点を当てたGolangセキュリティ分析。変数のソースと関数引数を追跡して、入力ソースが安全かどうかを判断することができます。

• ？ Golangci-Lint - Go Meta Linter ：Golangci-LintはLinter Aggregatorです。

• 3973 491? Golint） - Goソースコードでコーディングスタイルのミスを印刷します。

• 3130 271? Goreporter） - 同時に多くのリナーを実行し、レポートに出力を正規化します。

• 466 19? Goroutine-Inspect） - Golang Goroutineダンプを分析するインタラクティブツール。

• ？ GOSEC（GAS） - GO ASTをスキャンして、セキュリティ問題のソースコードを検査します。

• ？ gotype - GOコンパイラと同様の構文およびセマンティック分析。

• ？ Govulncheck - Govulncheckは、GOコードに影響を与える既知の脆弱性を報告しています。ソースコードまたはバイナリのシンボルテーブルの静的分析を使用して、アプリケーションに影響を与える可能性のあるレポートのみにレポートを絞り込みます。デフォルトでは、govulncheckはhttps://vuln.go.devのGO脆弱性データベースにリクエストを行います。脆弱性データベースへの要求には、プログラムのコードやその他のプロパティではなく、モジュールパスのみが含まれています。

• 404 25? inefsign）ショ和 - GOコードで非効率的な割り当てを検出します。

• 689 17?インターフェーサー）ショ和 - 使用できる狭いインターフェイスを提案します。

• 65 9? lll）ショ和 - 長い行を報告します。

• 538 42?悪意のある）ショ和 - フィールドがソートされた場合、メモリが少なくなる構造体を検出します。

• 1354 115? Misspell） - 一般的に間違った英語の単語を見つけます。

• 127 15? Nakedret） - 裸のリターンを見つけます。

• 85 5? nargs） - 関数宣言で未使用の引数を見つけます。

• 643 24? PREALLOC） - 潜在的にPREALLOCATESを使用できるスライス宣言を見つけます。

• 8053 427? ReviewDog） - コードホスティングサービスの任意のリナーからのレビューコメントを投稿するためのツール。

• ？ Revive - 高速で、構成可能で、拡張可能で、柔軟で、美しいリナーがあります。 Golintのドロップイン交換。

• 564 47? SAFESQL）ショ和 - SQL注入から保護するGolangの静的分析ツール。

• 369 15?シショ）ショ和 - 開発者とセキュリティチーム向けに設計された軽量の静的コードアナライザー。 SEDと同様の直感的なDSLでソースコードを分析および変換することができますが、コード用です。

• ？ StaticCheck - バグの検索、コードの簡素化、パフォーマンスの向上に特化した静的分析に進みます。

• ？ structCheck - 未使用の構造フィールドを見つけます。

• 817 27? structslop） - 最大のスペース/割り当て効率を提供するために、構造フィールド再配置を推奨するGOの静的アナライザー

• ？テスト - STDLIBテストモジュールからのテスト障害の位置を表示します。

• 380 26? Uncenvute） - 冗長型変換を検出します。

• 533 28? UNPARAM） - 未使用の関数パラメーターを見つけます。

• ？ VARCHECK - 未使用のグローバル変数と定数を見つけます。

• 267 41? WSL） - 適切な場所に空の線を強制します。

• ？ Codenarc - グルーヴィーなソースコードの静的分析ツール。多くのコーディング標準とベストプラクティスの監視と施行を可能にします。

• 690 67?ブルターニュ）ショ和 - Haskellソースコードフォーマッタ

• 1484 197? hlint） - Hlintは、Haskellコードの改善の可能性を示唆するツールです。

• ？ Liquid Haskell - Liquid Haskellは、Haskellプログラム用の改良型チェッカーです。

• ？ STAN - Stanは、Haskellプロジェクトを分析し、検出された問題の可能な解決策を備えた有益な方法で発見された脆弱性を出力するためのコマンドラインツールです。

• 170 28? Weeder） - Haskellコードでの死んだ輸出またはパッケージの輸入を検出するためのツール。

• ？ HAXE CheckStyle - 開発者がコーディング標準に準拠するHAXEコードを作成できるようにするための静的分析ツール。

• ？チェッカーフレームワーク - Javaのプラグ可能なタイプチェック。これは単なるバグファインダーではなく、正確性を保証する検証ツールです。 27の事前に構築されたタイプシステムが付属しており、ユーザーが独自のタイプシステムを定義できるようにします。マニュアルには、30を超えるユーザーコントリビューされたタイプシステムがリストされています。

• ？ CheckStyle - コード標準または検証ルールのセット（ベストプラクティス）の順守についてJavaソースコードを確認します。

• 387 154? CK） - ソースJavaファイルを処理することにより、ChidamberおよびKemererオブジェクト指向のメトリックを計算します。

• CKJM - コンパイルされたJavaファイルのバイトコードを処理することにより、ChidamberおよびKemererオブジェクト指向のメトリックを計算します。

• ？ CognicRypt - 暗号化APIの誤った使用についてJavaソースとバイトコードをチェックします。

• 1034 356?データフローフレームワーク） - Javaの産業強度データフローフレームワーク。データフローフレームワークは、チェッカーフレームワーク、Googleのエラーが発生しやすい、UberのNullaway、MetaのNullSafe、およびその他のコンテキストで使用されています。チェッカーフレームワークで配布されています。

• DeveriteItjava©€ - DegripingJavaは、さまざまなコード品質メトリックの計算とともに、さまざまなアーキテクチャ、設計、および実装の臭いの検出をサポートしています。

• ？ diffblue©× - diffblueは、ソフトウェア開発チームにAIを搭載したコード分析とテストソリューションを提供するソフトウェア会社です。そのテクノロジーは、開発者がテストを自動化し、バグを見つけ、ソフトウェア開発プロセスの手動労働を削減するのに役立ちます。同社の主要な製品であるDiffBlueカバーは、AIを使用してJavaコードのユニットテストを生成および実行し、エラーをキャッチし、コードの品質を向上させるのに役立ちます。

• ？ DOOP - DOOPは、ポインター分析アルゴリズムを中心としたJava/Androidプログラムの静的分析のための宣言的なフレームワークです。 DOOPは、多種多様な分析と周囲の足場を提供し、エンドツーエンド（ファクト生成、処理、統計など）を実行する分析を実行します。

• 13 8? enre-java） - enre（エンティティ関係抽出因子）は、ソースコードからコードエンティティの依存関係または関係を抽出するためのツールです。 Enre-Javaは、 @Eclipse JDT/Parserに基づいたJavaプロジェクトのエンティティ関係抽出器です。

• ？エラーが発生しにくい - コンパイル時間エラーとして一般的なJavaミスをキャッチします。

• FB-Contrib - 追加のバグ検出器を備えたFindBugのプラグイン。

• 340 34?禁止API） - 特定の方法/クラス/フィールドの呼び出しを検出および禁止します（charsetなしのテキストストリームから読み取ります）。 Maven/Gradle/Ant互換性。

• 5674 864? Google-java-format） - Google Javaスタイルに準拠するためにJavaソースコードを再フォーマット

• 304 32?ハントバグ）ショ和 - FindBugsに優先することを目的としたProcyonコンパイラツールに基づくByteCode Static Analyzerツール。

• ？ Intellij Idea©il©× - JavaとKotlinの多くの検査が包まれており、リファクタリング、フォーマットなどのためのツールが含まれています。

• ？ jarchitect©× - コードを測定、照会、視覚化し、予期しない問題、技術的な負債、複雑さを回避します。

• ？ JBMC - Java（bytecode）の境界モデルチェッカーは、ユーザー定義のアサーション、標準アサーション、いくつかのカバレッジメトリック分析を検証します。

• ？ Mariana Trench - AndroidおよびJavaアプリケーション向けのセキュリティに焦点を当てた静的分析ツール。 Mariana TrenchはDalvik Bytecodeを分析し、大きなコードベース（10億行のコード）で速く走るように構築されています。リポジトリに着地する前に、コードが変更されるにつれて脆弱性を見つけることができます。

• 3664 299? nullaway） - ビルド時間のオーバーヘッドが低いタイプベースのヌルポインターチェッカー。エラーが発生しやすいプラグイン。

• ？ OWASPの依存関係チェック - 既知、公開された、脆弱性の依存関係をチェックします。

• ？ Qulice - いくつかの（事前に構成された）静的分析ツール（CheckStyle、PMD、FindBugs、...）を組み合わせます。

• 460 42? RefactorFirst） - 最初にリファクタリングする必要があるJavaコードベースの神の階級と高度に結合されたクラスを特定して優先順位を付けます。

• ？ SOOT - JavaおよびAndroidアプリケーションを分析および変換するためのフレームワーク。

• ？スプーン - スプーンは、Javaソースコードを分析および変換するメタプログラムライブラリです（Java 9、10、11、12、13、14を含む）。ソースファイルを解析して、強力な分析と変換APIを使用して、適切に設計されたASTを構築します。 MavenとGradleに統合できます。

• ？ SpotBugs - SpotBugsはFindBugsの後継者です。 Javaコードでバグを探すための静的分析のためのツール。

• ？安定したショ和 - 静的分析とテストの両方を使用して、コードコンテキストと使用をより正確に決定するために、既知の脆弱性を備えたオープンソース依存関係のJavaアプリケーションを分析します。

• 148 39?違反lib） - 静的コード分析からレポートファイルを解析するためのJavaライブラリ。 Jenkins、Maven、Gradleプラグインの束が使用しています。

• エーテルショ和 - リント、分析、正規化、変換、サンドボックス、ランニング、ステップスルー、およびユーザーJavaScript、ノードまたはブラウザの視覚化。

• ？閉鎖コンパイラ - 効率を向上させ、サイズを削減し、JavaScriptファイルでコード警告を提供するコンパイラツール。

• 111 29? closurelinter）ショ和 - プロジェクトのすべてのJavaScriptコードが、Google JavaScriptスタイルガイドのガイドラインに従うことを保証します。また、多くの一般的なエラーを自動的に修正することもできます。

• 209 27?複雑さレポート）ショ和 - JavaScriptプロジェクトのソフトウェアの複雑さ分析。

• ？ Deepscan©€ - コンベンションをコーディングするのではなく、ランタイムエラーと品質の問題をターゲットにするJavaScriptのアナライザー。

• 205 40? es6-plato）ショ和 - JavaScript（ES6）ソースの複雑さを視覚化します。

• 266 25? escomplex）ショ和 - JavaScript-Family抽象的構文ツリーのソフトウェアの複雑さ分析。

• ？エスプリマショ和 - 多目的分析のためのECMAScriptの解析インフラストラクチャ。

• ？フロー - JavaScriptの静的タイプチェッカー。

• ？ Hegel - タイプの推論と強力なタイプシステムにバイアスを備えたJavaScriptの静的タイプチェッカー。

• ？ Jshint - JavaScriptコードのエラーと潜在的な問題を検出し、チームのコーディングコンベンションを実施します。

• 3619 463? jslint） - JavaScriptコード品質ツール。

• ？ jsprimeショ和 - 静的セキュリティ分析ツール。

• ？ nodejsscan - njsscan CLIツールに基づいたlibsastおよびsemgrepを搭載したnode.jsアプリケーション用の静的セキュリティコードスキャナー。アプリケーションのセキュリティステータスに関するさまざまなダッシュボードを備えたUIを備えています。

• 4561 321?プラトン）ショ和 - JavaScriptソースの複雑さを視覚化します。

• 431 201? Polymer-analyzer） - Webコンポーネントの静的分析フレームワーク。

• ？ Retire.js - 既知の脆弱性を持つJavaScriptライブラリの使用を検出するスキャナー。

• rslintショ和 - 可能な限り速く、カスタマイズ可能で使いやすいように設計された錆で書かれた（WIP）JavaScriptリナー。

• 標準 - JavaScript StyleGuideの問題をチェックするNPMモジュール。

• ？ Tern - 深い編集者言語サポートのためのJavaScriptコードアナライザー。

• ？ Typlショ和 - TYPLを使用すると、完全に標準のJSを書くだけで、ツールは強力な推論を介してタイプを把握します。

• 7718 292? xo） - 多くのグッズを含む意見があるが構成可能なEslintラッパーが含まれています。厳格で読み取り可能なコードを実施します。

• 27 4?ヤードスティック）ショ和 - JavaScriptコードメトリック。

• 750 30?ジェット） - バグとタイプの不安定性を検出するための静的タイプの推論システム。

• 148 29? Staticlint） - ジュリアの静的コード分析

• ？ DETEKT - Kotlinコードの静的コード分析。

• ？ diktat - コトリンの厳格なコーディング標準とコードの臭いを検出および自動化するリナー。

• ？ KTFMT - Kotlin Codeの規則の共通コミュニティ標準を遵守するためにKotlinソースコードを改革するプログラム。 KTFMT Intellijプラグインは、プラグインリポジトリから入手できます。インストールするには、IDEの設定に移動し、プラグインカテゴリを選択します。 [MarketPlace]タブをクリックし、KTFMTプラグインを検索し、[インストール]ボタンをクリックします。

• ？ KTLINT - ビルトインフォーマッタを備えたバイクシングアンチバイクシンディングコトリンリナー。

• 372 57? Luacheck） - LUAコードの糸くずと静的分析のためのツール。

• 85 19? lualint） - lualintは、LUAソースコードのグローバル変数使用量のLUACベースの静的分析を実行します。

• ？ルアナリシスショ和 - 静的にタイプされたLUA開発のIDE。

• ？ mlint©€ - 可能な問題については、Matlabコードファイルを確認してください。

• ？ Drnim - Drnimは、NIM FrontendとZ3 Proof Engineを組み合わせて、NIMで記述されたソフトウェアを検証 /検証できるようにします。

• 85 6? nimfmt） - nimコードフォーマッタ /リナー /スタイルチェッカー

• 224 41? sys） - （ブラウザー）コードでバグを見つけるための静的/シンボリックツール。 LLVM ASTを使用して、初期化されたメモリアクセスのようなバグを見つけます。

• 376 66? Verifast） - 分離ロジックで書かれた前提条件と事後条件で注釈が付けられた、単一スレッドおよびマルチスレッドCおよびJavaプログラムの正確性特性のモジュール形式的検証のためのツール。豊富な仕様を表現するために、プログラマーは誘導データ型、これらのデータ型に対する原始的な再帰的純粋な機能、および抽象的な分離ロジックの述語を定義できます。

• ？ CakeFuzzer - CakePHPベースのWebアプリケーション用のWebアプリケーションセキュリティテストツール。 CakeFuzzerは、実行前にランダムに変更される事前定義された一連の攻撃を採用しています。 Cake PHPフレームワークの深い理解を活用して、Cake Fuzzerはすべての潜在的なアプリケーションエントリポイントで攻撃を開始します。

• 1362 56? Churn-PHP） - リファクタリングの優れた候補者を発見するのに役立ちます。

• 465 10?作曲家依存性 - 分析器） - 作曲家依存関係の問題の高速検出。

• ？パワフル：未使用のシャドウと誤った作曲家の依存関係を検出します
• performant：2秒で15,000ファイルをスキャンします！
• 構成可能：PHP Configを介してファイングレインを無視します
• ？§weight：作曲家の依存関係はありません
• ？使いやすい：最初に試してみるのに不要な構成はありません
• 互換性：php> = 7.2

• 530 26? Dephpend） - 依存関係分析ツール。

• 393 40? Deprecation-detector） - 非推奨（Symfony）コードの使用法を見つけます。

• 2678 134? DEPTRAC） - ソフトウェアレイヤー間の依存関係のルールを強制します。

• 114 14? DesignPatternDetector） - PHPコードの設計パターンの検出。

• ？ EasyCodingStandard - 10696 1478? php_codesniffer）および12941 1583? PHP-CS-Fixer）。

• ？ Enlightn - Laravelアプリのパフォーマンス、セキュリティ、コードの信頼性を向上させるための推奨事項を提供するLaravelアプリケーション用の静的および動的分析ツール。 120の自動チェックが含まれています。

• ？ Exakat - PHPのエンジンをレビューする自動コード。

• 4161 437? grumphp） - すべてのコミットでコードをチェックします。

• 5639 424? Larastan） - Laravelの発達者の生産性とコードの品質を改善するために静的分析を追加します。 Phpstan周辺のラッパーです。

• ？モンドリアンショ和 - グラフ理論を使用する静的分析とリファクタリングツールのセット。

• ？ nitpick ci©€ - 自動PHPコードレビュー。

• 293 22? Parallel-Lint） - このツールは、よりファンシーな出力を使用したシリアルチェックよりも速くPHPファイルの構文をチェックします。

• 368 41?解析） - 静的セキュリティスキャナー。

• ？ PDENDIT - PHPコードのCyclomaticの複雑さなどのソフトウェアメトリックを計算します。

• ? ?? Phan） - Etsyの最新の静的分析器。

• 1100 45? PHPアーキテクチャテスター） - PHP用の使いやすいアーキテクチャテストツール。

• 158 10? PHP仮定） - 弱い仮定をチェックします。

• ？ PHPコーディング標準フィクサー - PSR-1、PSR-2、Symfony Standardなどの標準に従ってコードを修正します。

• ？ PHP Insights - コンソールからのインスタントPHP品質チェック。コードの品質とコーディングスタイルの分析と、コードアーキテクチャとその複雑さの概要。

• ？ PHP検査（EA拡張） - PHPの静的コードアナライザー。

• ？ PHPリファクタリングブラウザ - リファクタリングヘルパー。

• 430 28? PHPセマンティックバージョンチェッカー）ショ和 - セマンティックバージョンによると、次のバージョンを提案します。

• 17109 1102? PHP-Parser） - PHPで書かれたPHPパーサー。

• 68 22? PHPスペラー） - PHPスペルチェックライブラリ。

• 190 44? php-token-reflection）ショ和 - PHP内部反射をエミュレートするライブラリ。

• 1524 121? php7cc）ショ和 - PHP 7互換性チェッカー。

• 797 92? php7mar）ショ和 - 開発者がコードを迅速にPHP 7に移植するのを支援します。

• ？ php_codesnifferショ和 - 定義された一連のコーディング標準の違反を検出します。

• 761 41? phparkitect） - phparkitectは、ワークフローにアーキテクチャ制約チェックを追加することを許可することにより、PHPコードベースのコヒーレントで固体を維持するのに役立ちます。シンプルで読み取り可能なPHPコードで、強制したい制約を表現できます。

• 97 8? phpca）ショ和 - 非ビルドイン拡張機能の使用法を見つけます。

• 2214 191? phpcpd）ショ和 - PHPコードの検出器をコピー/貼り付けます。

• 415 47? phpdcd）ショ和 - PHPコードのDead Code Detector（DCD）。

• ？ phpdependencyanalysisショ和 - プロジェクトの依存関係グラフを構築します。

• 366 38? PHPDEPRECATIONDETECTOR） - PHPコードの分析装置新しいインタープリターバージョンで非推奨機能を伴う問題を検索します。削除されたオブジェクト（関数、変数、定数、およびINIディレクティブ）、非推奨機能、および禁じられた名前またはトリックの使用（新しいバージョンの予約済み識別子など）が見つかります。

• 226 15? phpdoc-to-typehint）ショ和 - PHPDOCアノテーションを使用して、スカラータイプのヒントと既存のPHPプロジェクトにタイプを返すことを追加します。

• ？ PHPDocumentor - PHPソースコードを分析してドキュメントを生成します。

• 2336 165? phploc） - サイズを迅速に測定し、PHPプロジェクトの構造を分析するためのツール。

• ？ PHPMD - コードで可能なバグを見つけます。

• phpmetrics - さまざまなコード品質メトリックを計算および視覚化します。

• 560 46? phpmnd） - 魔法の数字を検出するのに役立ちます。

• ？ phpqaショ和 - QAツールを実行するためのツール（PHPLOC、PHPCPD、PHPCS、PDEPEND、PHPMD、PHPMetrics）。

• 1231 67? PHPQA -Jakzal） - 1つの容器におけるPHP静的分析のための多くのツール。

• 327 29? PHPQA-JMOLIVAS） - PHPQAオールインワンアナライザーCLIツール。

• 639 77? phpsa）ショ和 - PHPの静的分析ツール。

• ？ PHPSTAN - PHP静的分析ツール - 実行せずにコードでバグを発見してください！

• 333 61? ProgPilot） - セキュリティ目的のための静的分析ツール。

• ？詩編 - PHPアプリケーションでタイプエラーを見つけるための静的分析ツール。

• 494 31? Qafoo Quality Analyzer）ショ和 - メトリックとソースコードを視覚化します。

• ？レクター - PHP 5.3+コードのインスタントアップグレードと自動リファクタリング。 PHP 7.4、8.0以降のコードをアップグレードします。 Rectorは、狭く定義されたAST（要約構文ツリー）パターンを探すため、低い偽陽性率を約束します。主なユースケースは、レガシーコードの技術的債務に取り組み、死んだコードを削除することです。 Rectorは、Symfony、Doctrine、Phpunitなどの特別なルールのセットを提供します。

• 119 51?リフレクション） - PHPプロジェクトの静的分析を行うリフレクションライブラリ

• ？ Symfony Insight©il - セキュリティリスクを検出し、バグを見つけ、PHPプロジェクトに実用的なメトリックを提供します。

• 171 7? Tuli） - 静的分析エンジン。

• 118 32? Twig-Lint） - Twig-Lintは、Twigファイルの糸くずツールです。

• ？ WAP - PHP（4.0以上）Webアプリケーションの入力検証の脆弱性を検出および修正するツール。静的分析とデータマイニングを組み合わせることにより、誤検知を予測します。

• ？ ZPA - PL/SQLおよびOracle SQLコードのオープンソースパーサーおよびコードアナライザー。

• ？ Perl :: Analyzer - Perl-Analyzerは、名前空間とその関係、依存関係、継承、およびパッケージで実装され、継承され、再定義された方法に関する情報を提供することにより、ユーザーがPerlコードベースを分析および視覚化できるプログラムとモジュールのセットであり、スーパー経由の親パッケージからのメソッドへの呼び出しを提供します。

• ？ Perl ::批評家 - ベストプラクティスの批評Perlソースコード。

• ？ Perltidy - Perltidyは、読みやすくするためにPerlスクリプトをインデントおよび再フォーマットするPerlスクリプトです。フォーマットは、コマンドラインパラメーターで制御できます。デフォルトのパラメーター設定は、Perlスタイルガイドの提案にほぼ従います。スクリプトの再フォーマットに加えて、Perltidyは、エラーのローカライズに非常に優れているため、欠落または余分なブレース、括弧、四角い括弧でエラーを追跡するのに大きな助けになります。

• 47 10? ZARN） - 最新のPERLアプリ向けの軽量静的セキュリティ分析ツール

• 909 82? Autoflake） - Autoflakeは、Pythonコードから未使用のインポートと未使用の変数を削除します。

• ？ AUTOPEP8 - Pype 8スタイルガイドに準拠するPythonコードを自動的にフォーマットするツール。 PycodeStyleユーティリティを使用して、コードのフォーマットが必要な部分を決定します。

• ？ Bandit - Pythonコードで一般的なセキュリティ問題を見つけるツール。

• 265 14? Bellybutton） - カスタムプロジェクト固有のルールをサポートする糸くずエンジン。

• ？ブラック - 妥協のないPythonコードフォーマッタ。

• ？ボウラー - 最新のPythonの安全なコードリファクタリング。 Bowlerは、構文ツリーレベルでPythonを操作するためのリファクタリングツールです。結果として得られたコードがコンパイルされて実行されることを保証しながら、安全で大規模なコードの変更を可能にします。コードで複雑なコード変更を生成するために、Pythonの単純なコマンドラインインターフェイスとFluent APIの両方を提供します。

• 26 10? CioCheck）ショ和 - リナー、フォーマッタ、テストスイートヘルパー。リナーとして、 pep8 、 pydocstyle 、 flake8 、およびpylintのラッパーです。

• 237 4?凝集） - Pythonクラスの凝集を測定するためのツール。

• ？取引 - Pythonの契約による設計。バグのないコードを書きます。コードにいくつかのデコレータを追加することで、無料テスト、静的分析、正式な検証などを取得できます。

• 163 15? DLINT） - Pythonコードを確保するためのツールが安全です。

• 121 18?危険） - Dodgyは、「危険な」見た目の価値を検索するためにコードベースに対して実行する非常に基本的なツールです。これは、ファイルにハードコード化された偶発的なSCM DIFFチェックイン、またはパスワードやシークレットキーなどを検出するために設計された一連の簡単な正規表現です。

• 13 2? enre-py）ショ和 - enre（エンティティリレーションシップ抽出）は、ソースコードからコードエンティティの依存関係または関係を抽出するためのツールです。 ENRE-PYは、標準ライブラリのPython言語サービスに基づいたPythonのエンティティ関係抽出器です。

• ？ FIXIT - リントルールとソースコードの対応する自動フィックスを作成するためのフレームワーク。

• 3488 310? Flake8） - pyflakes 、 pycodestyle 、 mccabeの周りのラッパー。

• ？ Flakeheaven - Flakeheavenは、継承可能で複雑なTOML構成を可能にするために、Flake8の周りに構築されたPythonリナーです。

• ？グリフ - Pythonプログラム全体の署名。構造、フレーム、プロジェクトのスケルトンを抽出して、APIドキュメントを生成するか、APIの壊れた変更を見つけます。

• 80 3? Inspectortiger）ショ和 - It、Isspector Tigerは、最新のPythonコードレビューツール /フレームワークです。それには、改善と可能性のあるバグについて警告する事前定義されたハンドラーの束が付属しています。これらのハンドラーのほかに、独自のハンドラーを書くか、コミュニティのものを使用できます。

• ？ JEDI - Python用の自動補完/静的分析ライブラリ。

• 185 26? Linty Fresh） - リントエラーを解析し、プルリクエストに関するコメントとしてGitHubに報告します。

• ？マッケイブショ和 - McCabeの複雑さを確認してください。

• 28 6?マルチリント）ショ和- flake8 、 isort 、およびmodernizeラッパー。

• mypy — A static type checker that aims to combine the benefits of duck typing and static typing, frequently used with 4809 176? MonkeyType).

• 1964 172? prospector) — A wrapper around pylint , pep8 , mccabe and others.

• 127 29? py-find-injection)ショ和 - PythonコードでSQLインジェクションの脆弱性を見つけます。

• ？ Pyanalyze - 未定義の変数やタイプエラーへの参照など、Pythonコードの一般的な間違いをプログラム的に検出するためのツール。追加のルールを追加し、特定の機能に固有のチェックを実行するために拡張できます。

• ？ PyCodeQual ©️ — PyCodeQual gives you insights into complexity and bug risks.プルリクエストに自動レビューを追加します。

• ？ pycodestyle — (Formerly pep8 ) Check Python code against some of the style conventions in PEP 8.

• pydocstyleショ和— Check compliance with Python docstring conventions.

• ？ pyflakes — Check Python source files for errors.

• pylint — Looks for programming errors, helps enforcing a coding standard and sniffs for some code smells.さらに、 pyreverse （UMLダイアグラムジェネレーター）とsymilar （類似チェッカー）が含まれます。

• ？ pylyzers — A static code analyzer / language server for Python, written in Rust, focused on type checking and readable output.

• ？ Pyre-check - 大きなPythonコードベース用の高速でスケーラブルなタイプチェッカー。

• 13613 1514? pyright) — Static type checker for Python, created to address gaps in existing tools like mypy.

• 212 21? pyroma)ショ和— Rate how well a Python project complies with the best practices of the Python packaging ecosystem, and list issues that could be improved.

• ？ PYSA - FacebookのPyre-checkに基づいたツールで、汚染分析で特定されたPythonコードの潜在的なセキュリティ問題を特定します。

• 2181 244? PyT - Python Taint)ショ和— A static analysis tool for detecting security vulnerabilities in Python web applications.

• ？ PyType - Pythonコードの静的型アナライザー。

• ？ pyupgrade — A tool (and pre-commit hook) to automatically upgrade syntax for newer versions of the language.

• 111 23? QuantifiedCode)ショ和— Automated code review & repair. It helps you to keep track of issues and metrics in your software projects, and can be easily extended to support new types of analyses.

• ？ radon — A Python tool that computes various metrics from the source code.

• 2492 54? refurb) — A tool for refurbishing and modernizing Python codebases. Refurb is heavily inspired by clippy, the built-in linter for Rust.

• ？ ruff — Fast Python linter, written in Rust. 10-100x faster than existing linters. Compatible with Python 3.10. Supports file watcher.

• ？ unimport — A linter, formatter for finding and removing unused import statements.

• 3579 156? vulture) — Find unused classes, functions and variables in Python code.

• ？ wemake-python-styleguide — The strictest and most opinionated python linter ever.

• 1215 60? wily)ショ和— A command-line tool for archiving, exploring and graphing the complexity of Python source code.

• ？ xenon — Monitor code complexity using 1755 119? radon ).

• 13811 890? yapf) — A formatter for Python files created by Google YAPF follows a distinctive methodology, originating from the 'clang-format' tool created by Daniel Jasper. Essentially, the program reframes the code to the most suitable formatting that abides by the style guide, even if the original code already follows the style guide. This concept is similar to the Go programming language's 'gofmt' tool, which aims to put an end to debates about formatting by having the entire codebase of a project pass through YAPF whenever changes are made, thereby maintaining a consistent style throughout the project and eliminating the need to argue about style in every code review.

• 49 7? cyclocomp) — Quantifies the cyclomatic complexity of R functions / expressions.

• ？ goodpractice — Analyses the source code for R packages and provides best-practice recommendations.

• 1206 186? lintr) — Static Code Analysis for R.

• ？ styler — Formatting of R source code files and pretty-printing of R code.

• 269 37? Regal) — Regal is a linter for the policy language Rego. Regal aims to catch bugs and mistakes in policy code, while at the same time helping people learn the language, best practices and idiomatic constructs.

• ？ brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.

• 2690 229? bundler-audit) — Audit Gemfile.lock for gems with security vulnerabilities reported in 1025 221? Ruby Advisory Database).

• 1314 75? cane)ショ和— Code quality threshold checking as part of your build.

• 407 33? Churn) — A Project to give the churn file, class, and method for a project for a given checkin. Over time the tool adds up the history of churns to give the number of times a file, class, or method is changing during the life of a project.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications. Sinatra、Padrino、Ruby on Railsフレームワークをサポートしています。

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 1810 75? Fasterer) — Common Ruby idioms checker.

• ？ flay — Flay analyzes code for structural similarities.

• ？ flogショ和— Flog reports the most tortured code in an easy to read pain report. The higher the score, the more pain the code is in.

• 31 7? Fukuzatsu) — A tool for measuring code complexity in Ruby class files. Its analysis generates scores based on cyclomatic complexity algorithms with no added "opinions".

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 386 17?レーザ）ショ和— Static analysis and style linter for Ruby code.

• 626 96? MetricFu)ショ和— MetricFu is a set of tools to provide reports that show which parts of your code might need extra work.

• 439 17? pelusa) — Static analysis Lint-type tool to improve your OO Ruby code.

• 155 18?品質）ショ和— Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.

• 250 20? Querly)ショ和— Pattern Based Checking Tool for Ruby.

• ？ Railroaderショ和— An open source static analysis security vulnerability scanner for Ruby on Rails applications.

• ？ Rails_best_practicesショ和— A code metric tool for Rails projects

• 4052 280? reek) — Code smell detector for Ruby.

• 277 37? Roodi)ショ和— Roodi stands for Ruby Object Oriented Design Inferometer. It parses your Ruby code and warns you about design issues you have based on the checks that it has configured.

• ？ RuboCop — A Ruby static code analyzer, based on the community Ruby style guide.

• 641 29? Rubrowser) — Ruby classes interactive dependency graph generator.

• ruby-lintショ和— Static code analysis for Ruby.

• 3368 225? rubycritic) — A Ruby code quality reporter.

• 901 56? rufo) — An opinionated ruby formatter, intended to be used via the command line as a text-editor plugin, to autoformat files on save or on demand.

• ？ Saikuroショ和— A Ruby cyclomatic complexity analyzer.

• ？ SandiMeterショ和— Static analysis tool for checking Ruby code for Sandi Metz' rules.

• ？ Sorbet — A fast, powerful type checker designed for Ruby.

• 2749 213? Standard Ruby) — Ruby Style Guide, with linter & automatic code fixer

• 1378 90? Steep) — Gradual Typing for Ruby.

• ？ C2Rust — C2Rust helps you migrate C99-compliant code to Rust. The translator (or transpiler) produces unsafe Rust code that closely mirrors the input C code.

• 1784 46? cargo udeps) — Find unused dependencies in Cargo.toml. It either prints out a "unused crates" line listing the crates, or it prints out a line saying that no crates were unused.

• ？ cargo-audit — Audit Cargo.lock for crates with security vulnerabilities reported to the ? ?? RustSec Advisory Database).

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.

• 112 7? cargo-breaking) — cargo-breaking compares a crate's public API between two different branches, shows what changed, and suggests the next version according to semver.

• 586 52? cargo-call-stack) — Whole program static stack analysis The tool produces the full call graph of a program as a dot file.

• ？ cargo-deny — A cargo plugin for linting your dependencies. It can be used either as a command line too, a Rust crate, or a Github action for CI. It checks for valid license information, duplicate crates, security vulnerabilities, and more.

• 2723 67? cargo-expand) — Cargo subcommand to show result of macro expansion and #[derive] expansion applied to the current crate. This is a wrapper around a more verbose compiler command.

• 1417 67? cargo-geiger) — A cargo plugin for analysing the usage of unsafe Rust code Provides statistical output to aid security auditing

• 380 13? cargo-inspect)ショ和— Inspect Rust code without syntactic sugar to see what the compiler does behind the curtains.

• ？ cargo-semver-checks — Scan your Rust crate releases for semver violations. It can be used either directly via the CLI, as a GitHub Action in CI, or via release managers like release-plz . It found semver violations in ? more than 1 in 6 of the top 1000 most-downloaded crates on crates.io.

• 728 37? cargo-show-asm) — cargo subcommand showing the assembly, LLVM-IR and MIR generated for Rust code

• 332 35? cargo-spellcheck) — Checks all your documentation for spelling and grammar mistakes with hunspell (ready) and languagetool (preview)

• 252 9? cargo-unused-features)ショ和— Find potential unused enabled feature flags and prune them. You can generate a simple HTML report from the json to make it easier to inspect results. It removes a feature of a dependency and then compiles the project to see if it still compiles. If it does, the feature flag can possibly be removed, but it can be a false-positive.

• ？ clippy — A code linter to catch common mistakes and improve your Rust code.

• ？ diff.rs — Web application (WASM) to render a diff between Rust crate versions.

• ？ dylint — A tool for running Rust lints from dynamic libraries. Dylint makes it easy for developers to maintain their own personal lint collections.

• ？電解ショ和— A tool for formally verifying Rust programs by transpiling them into definitions in the Lean theorem prover.

• 174 5? herbie)ショ和— Adds warnings or errors to your crate when using a numerically unstable floating point expression.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• 40 22? linter-rust)ショ和— Linting your Rust-files in Atom, using rustc and cargo.

• 486 29? lockbud) — Statically detects Rust deadlocks bugs. It currently detects two common kinds of deadlock bugs: doublelock and locks in conflicting order. It will print bugs in JSON format together with the source code location and an explanation of each bug.

• 1002 86? MIRAI) — And abstract interpreter operating on Rust's mid-level intermediate language, and providing warnings based on taint analysis.

• 132 4? prae)ショ和— Provides a convenient macro that allows you to generate type wrappers that promise to always uphold arbitrary invariants that you specified.

• ？ Prusti — A static verifier for Rust, based on the Viper verification infrastructure. By default Prusti verifies absence of panics by proving that statements such as unreachable!() and panic!() are unreachable.

• 1323 45? Rudra) — Rust Memory Safety & Undefined Behavior Detection. It is capable of analyzing single Rust packages as well as all the packages on crates.io.

• 3510 256? Rust Language Server)ショ和— Supports functionality such as 'goto definition', symbol search, reformatting, and code completion, and enables renaming and refactorings.

• ？ rust-analyzer — Supports functionality such as 'goto definition', type inference, symbol search, reformatting, and code completion, and enables renaming and refactorings.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities. This works by embedding data about the dependency tree (Cargo.lock) in JSON format into a dedicated linker section of the compiled executable.

• 853 62? rustfix) — Read and apply the suggestions made by rustc (and third-party lints, like those offered by clippy).

• 6104 898? rustfmt) — A tool for formatting Rust code according to style guidelines.

• 2729 72? RustViz) — RustViz is a tool that generates visualizations from simple Rust programs to assist users in better understanding the Rust Lifetime and Borrowing mechanism. It generates SVG files with graphical indicators that integrate with mdbook to render visualizations of data-flow in Rust programs.

• 94 4? warnalyzer) — Show unused code from multi-crate Rust projects

• 173 2? dbcritic) — dbcritic finds problems in a database schema, such as a missing primary key constraint in a table.

• ？ holistic — More than 1,300 rules to analyze SQL queries. Takes an SQL schema definition and the query source code to generate improvement recommendations. Detects code smells, unused indexes, unused tables, views, materialized views, and more.

• 81 8? pgspot) — Spot vulnerabilities in postgres extension scripts. Finds unsafe search_path usage and unsafe object creation in PostgreSQL extension scripts or any other PostgreSQL SQL code.

• 181 14? sleek) — Sleek is a CLI tool for formatting SQL. It helps you maintain a consistent style across your SQL code, enhancing readability and productivity. The heavy lifting is done by the sqlformat crate.

• 2437 120? sqlcheck) — Automatically identify anti-patterns in SQL queries.

• ？ SQLFluff — Multiple dialect SQL linter and formatter.

• 420 27? sqlint) — Simple SQL linter.

• ？ squawk — Linter for PostgreSQL, focused on migrations. Prevents unexpected downtime caused by database migrations and encourages best practices around Postgres schemas and SQL.

• 214 74? tsqllint) — T-SQL-specific linter.

• 29 8? TSqlRules)ショ和— TSQL Static Code Analysis Rules for SQL Server.

• ？ Visual Expert ©️ — Code analysis for PowerBuilder, Oracle, and SQL Server Explores, analyzes, and documents Code

• 268 34? linter)ショ和— Linter is a Scala static analysis compiler plugin which adds compile-time checks for various possible bugs, inefficiencies, and style problems.

• Scalastyle — Scalastyle examines your Scala code and indicates potential problems with it.

• 534 92? scapegoat) — Scala compiler plugin for static code analysis.

• ？ WartRemover — A flexible Scala code linting tool.

• 348 22? bashate) — Code style enforcement for bash programs. The output format aims to follow pycodestyle (pep8) default output format.

• 62 17? i-Code CNES for Shell) — An open source static code analysis tool for Shell and Fortran (77 and 90).

• 17 0? kmdr) — CLI tool for learning commands from your terminal. kmdr delivers a break down of commands with every attribute explained.

• ？ sh — A shell parser, formatter, and interpreter with bash support; includes shfmt

• ？ shellcheck — ShellCheck, a static analysis tool that gives warnings and suggestions for bash/sh shell scripts.

• 4640 130? shellharden) — A syntax highlighter and a tool to semi-automate the rewriting of scripts to ShellCheck conformance, mainly focused on quoting.

• 8001 638? SwiftFormat) — A library and command-line formatting tool for reformatting Swift code.

• ？ SwiftLint — A tool to enforce Swift style and conventions.

• ？ Tailorショ和— A static analysis and lint tool for source code written in Apple's Swift programming language.

• Frink — A Tcl formatting and static check program (can prettify the program, minimise, obfuscate or just sanity check it).

• ？ Nagelfar — A static syntax checker for Tcl.

• 69 36? tclchecker) — A static syntax analysis module (as part of 69 36? TDK)).

• 1666 230? Angular ESLint) — Linter for Angular projects

• Codelyzerショ和— A set of tslint rules for static code analysis of Angular 2 TypeScript projects.

• 9 5? ENRE-ts) — ENRE (ENtity Relationship Extractor) is a tool for extraction of code entity dependencies or relationships from source code. ENRE-ts is a ENtity Relationship Extractor for ECMAScript and TypeScript based on @babel/parser.

• ？ fta — Rust-based static analysis for TypeScript projects

• ？ stcショ和— Speedy TypeScript type checker written in Rust

• ？ tslintショ和— TSLint has been deprecated as of 2019. Please see ? ?? this issue) for more details. typescript-eslint is now your best option for linting TypeScript. TSLint is an extensible static analysis tool that checks TypeScript code for readability, maintainability, and functionality errors. Modern Editors＆Build Systems全体で広くサポートされており、独自のLintルール、構成、フォーマッタでカスタマイズできます。

• ？ tslint-clean-code — A set of TSLint rules inspired by the Clean Code handbook.

• 701 198? tslint-microsoft-contrib)ショ和— A set of tslint rules for static code analysis of TypeScript projects maintained by Microsoft.

• 240 20? TypeScript Call Graph) — CLI to generate an interactive graph of functions and calls from your TypeScript files

• 15391 2750? TypeScript ESLint) — TypeScript language extension for eslint.

• ？ zod — TypeScript-first schema validation with static type inference. The goal is to eliminate duplicative type declarations. With Zod, you declare a validator once and Zod will automatically infer the static TypeScript type. It is easy to compose simpler types into complex data structures.

• 2894 534? Icarus Verilog) — A Verilog simulation and synthesis tool that operates by compiling source code written in IEEE-1364 Verilog into some target format

• 478 31? svls) — A Language Server Protocol implementation for Verilog and SystemVerilog, including lint capabilities.

• 29 13? verible-linter-action) — Automatic SystemVerilog linting in github actions with the help of Verible Used to lint Verilog and SystemVerilog source files and comment erroneous lines of code in Pull Requests automatically.

• ？ Verilator — A tool which converts Verilog to a cycle-accurate behavioral model in C++ or SystemC. Performs lint code-quality checks.

• 302 79? vscode-verilog-hdl-support) — Verilog HDL/SystemVerilog/Bluespec SystemVerilog support for VS Code. Provides syntax highlighting and Linting support from Icarus Verilog, Vivado Logical Simulation, Modelsim and Verilator

• 704 33? vint)ショ和— Fast and Highly Extensible Vim script Language Lint implemented by Python.

• 13612 1441? ale) — Asynchronous Lint Engine for Vim and NeoVim with support for many languages.

• ？ Android Studio — Based on IntelliJ IDEA, and comes bundled with tools for Android including Android Lint.

• ？ AppChecker ©️ — Static analysis for C/C++/C#, PHP and Java.

• ？ Application Inspector ©️ — Commercial Static Code Analysis which generates exploits to verify vulnerabilities.

• 4263 357? ApplicationInspector) — Creates reports of over 400 rule patterns for feature detection (eg the use of cryptography or version control in apps).

• ？ ArchUnit — Unit test your Java or Kotlin architecture.

• ？ Atom-Beautifyショ和— Beautify HTML, CSS, JavaScript, PHP, Python, Ruby, Java, C, C++, C#, Objective-C, CoffeeScript, TypeScript, Coldfusion, SQL, and more in Atom editor.

• ？ autocorrect — A linter and formatter to help you to improve copywriting, correct spaces, words, punctuations between CJK (Chinese, Japanese, Korean).

• ？ Axivion Bauhaus Suite ©️ — Tracks down error-prone code locations, style violations, cloned or dead code, cyclic dependencies and more for C/C++, C#/.NET, Java and Ada 83/Ada 95.

• 2120 113? Bearer) — Open-Source static code analysis tool to discover, filter and prioritize security risks and vulnerabilities leading to sensitive data exposures (PII, PHI, PD). Highly configurable and easily extensible, built for security and engineering teams.

• ？ Better Code Hub ©️ — Better Code Hub checks your GitHub codebase against 10 engineering guidelines devised by the authority in software quality, Software Improvement Group.

• 832 96? Betterscan CE) — Checks your code and infra (various Git repositories supported, cloud stacks, CLI, Web Interface platform, integrationss available) for security and quality issues. Code Scanning/SAST/Linting using many tools/Scanners deduplicated with One Report (AI optional).

• ？ biome — A toolchain for web projects, aimed to provide functionalities to maintain them. Biome formats and lints code in a fraction of a second. It is the successor to Rome. It is designed to eventually replace Biome is designed to eventually replace Babel, ESLint, webpack, Prettier, Jest, and others.

• ？ BugProve ©️ — BugProve is a firmware analysis platform featuring both static and dynamic analysis techniques to discover memory corruptions, command injections and other classes or common weaknesses in binary code. It also detects vulnerable dependencies, weak cryptographic parameters, misconfigurations, and more.

• 254 28? callGraph) — Statically generates a call graph image and displays it on screen.

• ？ CAST Highlight ©️ — Commercial Static Code Analysis which runs locally, but uploads the results to its cloud for presentation.

• ？ Checkmarx CxSAST ©️ — Commercial Static Code Analysis which doesn't require pre-compilation.

• 2783 290? ClassGraph) — A classpath and module path scanner for querying or visualizing class metadata or class relatedness.

• ？ Clayton ©️ — AI-powered code reviews for Salesforce. Secure your developments, enforce best practice and control your technical debt in real-time.

• ？ coalaショ和— Language independent framework for creating code analysis - supports ? over 60 languages by default.

• ？ Cobra ©️ — Structural source code analyzer by NASA's Jet Propulsion Laboratory.

• ？ Codacy ©️ — Code Analysis to ship Better Code, Faster.

• ？ Code Intelligence ©️ — CI/CD-agnostic DevSecOps platform which combines industry-leading fuzzing engines for finding bugs and visualizing code coverage

• ？ Codeac ©️ — Automated code review tool integrates with GitHub, Bitbucket and GitLab (even self-hosted). Available for JavaScript, TypeScript, Python, Ruby, Go, PHP, Java, Docker, and more. (open-source free)

• ？ codeburner — Provides a unified interface to sort and act on the issues it finds.

• ？ codechecker — A defect database and viewer extension for the Clang Static Analyzer with web GUI.

• ？ CodeFactor ©️ — Automated Code Analysis for repos on GitHub or BitBucket.

• ？ CodeFlow ©️ — Automated code analysis tool to deal with technical depth. Integrates with Bitbucket and Gitlab. (free for Open Source Projects)

• ？ CodeIt.Right ©️ — CodeIt.Right™ provides a fast, automated way to ensure that your source code adheres to (your) predefined design and style guidelines as well as best coding practices.

• ？ Codemodder — Codemodder is a pluggable framework for building expressive codemods. Use Codemodder when you need more than a linter or code formatting tool. Use it to fix non-trivial security issues and other code quality problems.

• ？ CodePatrol ©️ — Automated SAST code reviews driven by security, supports 15+ languages and includes security training.

• 7855 1576? codeql) — Deep code analysis - semantic queries and dataflow for several languages with VSCode plugin support.

• ？ CodeQue — Ecosystem for structural matching JavaScript and TypeScript code. Offers search tool that understands code structure. Available as CLI tool and Visual Studio Code extension. It helps to search code faster and more accurately making you workflow more effective. Soon it will offer ESLint plugin to create your own rules in minutes to help with assuring codebase quality.

• ？ CodeRush ©️ — Code creation, debugging, navigation, refactoring, analysis and visualization tools that use the Roslyn engine in Visual Studio 2015 and up.

• ？ CodeScan ©️ — Code Quality and Security for Salesforce Developers. Made exclusively for the Salesforce platform, CodeScan's code analysis solutions provide you with total visibility into your code health.

• ？ CodeScene ©️ — CodeScene is a quality visualization tool for software. Prioritize technical debt, detect delivery risks, and measure organizational aspects. Fully automated.

• ？ CodeSee ©️ — CodeSee is mapping and automating your app's services, directories, file dependencies, and code changes. It's like Google Map, but for code.t

• ？ CodeSonar from GrammaTech ©️ — Advanced, whole program, deep path, static analysis of C, C++, Java and C# with easy-to-understand explanations and code and path visualization.

• ？ Codety ©️ — Codety Scanner is a comprehensive source code scanner that embeds 5000+ static code analysis rules, which aim to detect code issues for 20+ programming languages and IaC tools.

• ？ Codiga ©️ — Automated Code Reviews and Technical Debt management platform that supports 12+ languages.

• 2164 116? Corrode)ショ和— Semi-automatic translation from C to Rust. Could reveal bugs in the original implementation by showing Rust compiler warnings and errors. Superseded by C2Rust.

• ？ Coverity ©️ — Synopsys Coverity supports 20 languages and over 70 frameworks including Ruby on rails, Scala, PHP, Python, JavaScript, TypeScript, Java, Fortran, C, C++, C#, VB.NET.

• ？ cpp-linter-action — A Github Action for linting C/C++ code integrating clang-tidy and clang-format to collect feedback provided in the form of thread comments and/or annotations.

• 323 17? cqc)ショ和— Check your code quality for js, jsx, vue, css, less, scss, sass and styl files.

• ？ DeepCodeショ和©️ — DeepCode was acquired by Snyk is now Snyk Code.

• ？ DeepSource ©️ — In-depth static analysis to find issues in verticals of bug risks, security, anti-patterns, performance, documentation and style. Native integrations with GitHub, GitLab and Bitbucket. Less than 5% false positives.

• 201 55? Depends) — Analyses the comprehensive dependencies of code elements for Java, C/C++, Ruby.

• ？ DerScanner ©️ — Multi-language Static Application Security Testing (SAST) platform that detects critical vulnerabilities, including hardcoded secrets, weak cryptography, backdoors, SQL injections, insecure configurations, etc.

• 921 114? DevSkim) — Regex-based static analysis tool for Visual Studio, VS Code, and Sublime Text - C/C++, C#, PHP, ASP, Python, Ruby, Java, and others.

• 1936 172? dotenet-format) — A code formatter for .NET. Preferences will be read from an .editorconfig file, if present, otherwise a default set of preferences will be used. At this time dotnet-format is able to format C# and Visual Basic projects with a subset of supported .editorconfig options.

• ？ Embold ©️ — Intelligent software analytics platform that identifies design issues, code issues, duplication and metrics. Supports Java, C, C++, C#, JavaScript, TypeScript, Python, Go, Kotlin and more.

• 846 48? emerge) — Emerge is a source code and dependency visualizer that can be used to gather insights about source code structure, metrics, dependencies and complexity of software projects. After scanning the source code of a project it provides you an interactive web interface to explore and analyze your project by using graph structures.

• 25359 4594? ESLint) — An extensible linter for JS, following the ECMAScript standard.

• ？ ezno — A JavaScript compiler and TypeScript checker written in Rust with a focus on static analysis and runtime performance. Ezno's type checker is built from scratch. The checker is fully compatible with TypeScript type annotations and can work without any type annotations at all.

• ？ Find Security Bugs — The SpotBugs plugin for security audits of Java web applications and Android applications. (Also work with Kotlin, Groovy and Scala projects)

• ？ Fortify ©️ — A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python (2.6, 2.7), Ruby (1.9.3), Swift, Scala, VB, and XML.

• ？ Freeplane Code Explorer — The Code Explorer mode in Freeplane is designed for analyzing the structure and dependencies of code compiled to JVM class files. It also allows displaying ArchUnit test results directly in Freeplane, if Freeplane is running and ArchUnit detects rule violations during the tests.

• ？ Goodcheck — Regexp based customizable linter.

• 52 3? goone)ショ和— Finds N+1 queries (SQL calls in a for loop) in go code

• graudit — Grep rough audit - source code auditing tool.

• ？ HCL AppScan Source ©️ — Commercial Static Code Analysis.

• 57 11?ホッパー）ショ和— A static analysis tool written in scala for languages that run on JVM.

• ？ Hound CIショ和— Comments on style violations in GitHub pull requests. Supports Coffeescript, Go, HAML, JavaScript, Ruby, SCSS and Swift.

• 223 42? imhotep)ショ和— Comment on commits coming into your repository and check for syntactic errors and general lint warnings.

• 77 28? include-gardener)ショ和— A multi-language static analyzer for C/C++/Obj-C/Python/Ruby to create a graph (in dot or graphml format) which shows all #include relations of a given set of files.

• ？ Infer — A static analyzer for Java, C and Objective-C

• ？ Kiuwan ©️ — Identify and remediate cyber threats in a blazingly fast, collaborative environment, with seamless integration in your SDLC. Python, CC++, Java, C#, PHP and more.

• ？ Klocwork ©️ — Quality and Security Static analysis for C/C++, Java and C#.

• ？ LGTM ©️ — Find security vulnerabilities, variants, and critical code quality issues using CodeQL queries over source code. Automatic PR code review; free for open source. Formerly semmle. It supports public Git repositories hosted on Bitbucket Cloud, GitHub.com, GitLab.com.

• 1878 252? lizard) — Lizard is an extensible Cyclomatic Complexity Analyzer for many programming languages including C/C++ (doesn't require all the header files or Java imports). It also does copy-paste detection (code clone detection/code duplicate detection) and many other forms of static code analysis. Counts lines of code without comments, CCN (cyclomatic complexity number), token count of functions, parameter count of functions.

• ？ Mega-Linter — Mega-Linter can handle any type of project thanks to its 70+ embedded Linters, its advanced reporting, runnable on any CI system or locally, with assisted installation and configuration, able to apply formatting and fixes

• ？ Mobb ©️ — Mobb is a trusted, automatic vulnerability fixer that secures applications, reduces security backlogs, and frees developers to focus on innovation. Mobb is free for open-source projects.

• ？ MOPSA — A static analyzer designed to easily reuse abstract domains across widely different languages (such as C and Python).

• oclint — A static source code analysis tool to improve quality and reduce defects for C, C++ and Objective-C.

• ？ Offensive 360 ©️ — Commercial Static Code Analysis system doesn't require building the source code or pre-compilation.

• ？ OpenRewrite — OpenRewrite ? fixes common static analysis issues reported through Sonar and other tools using a Maven and Gradle plugin or the Moderne CLI.

• 44 16? OpenStaticAnalyzer) — OpenStaticAnalyzer is a source code analyzer tool, which can perform deep static analysis of the source code of complex systems.

• 12888 472? oxc) — The Oxidation Compiler is creating a suite of high-performance tools for the JavaScript / TypeScript language re-written in Rust.

• ？ parasoft ©️ — Automated Software Testing Solutions for unit-, API-, and web UI testing. Complies with MISRA, OWASP, and others.

• ? ?? pfff)ショ和— Facebook's tools for code analysis, visualizations, or style-preserving source transformation for many languages.

• ？ Pixee ©️ — Pixeebot finds security and code quality issues in your code and creates merge-ready pull requests with recommended fixes.

• ？ PMD — A source code analyzer for Java, Salesforce Apex, Javascript, PLSQL, XML, XSL and others.

• ？ pre-commit — A framework for managing and maintaining multi-language pre-commit hooks.

• ？ Precaution — Precaution is a static analysis security tool (SAST) designed to find potentially critical vulnerabilities in source code prior to production. It is available as a CLI, GitHub Action, and GitHub App.

• ？ Prettier — An opinionated code formatter.

• 2628 246? Pronto) — Quick automated code review of your changes. Supports more than 40 runners for various languages, including Clang, Elixir, JavaScript, PHP, Ruby and more.

• 60 12? PT.PM)ショ和— An engine for searching patterns in the source code, based on Unified AST or UST. At present time C#, Java, PHP, PL/SQL, T-SQL, and JavaScript are supported. Patterns can be described within the code or using a DSL.

• 715 40? Putout) — Pluggable and configurable code transformer with built-in eslint, babel plugins support for js, jsx typescript, flow, markdown, yaml and json.

• ？ PVS-Studio ©️ — A ? conditionally free for FOSS and individual developers) static analysis of C, C++, C# and Java code. For advertising purposes 29 41? you can propose a large FOSS project for analysis by PVS employees). Supports CWE mapping, OWASP ASVS, MISRA, AUTOSAR and SEI CERT coding standards.

• ？ pylama — Code audit tool for Python and JavaScript. Wraps pycodestyle, pydocstyle, PyFlakes, Mccabe, Pylint, and more

• ？ Qwiet AI ©️ — Identify vulnerabilities that are unique to your code base before they reach production. Leverages the Code Property Graph (CPG) to run its analyses concurrently in a single graph of graphs. Automatically finds business logic flaws in dev like hardcoded secrets and logic bombs

• ？ Refactoring Essentials — The free Visual Studio 2015 extension for C# and VB.NET refactorings, including code best practice analyzers.

• 59 12? relint) — A static file linter that allows you to write custom rules using regular expressions (RegEx).

• ？ ReSharper ©️ — Extends Visual Studio with on-the-fly code inspections for C#, VB.NET, ASP.NET, JavaScript, TypeScript and other technologies.

• ？ RIPS ©️ — A static source code analyser for vulnerabilities in PHP scripts.

• 1600 466? Roslyn Analyzers) — Roslyn-based implementation of FxCop analyzers.

• ？ Roslyn Security Guard — Project that focuses on the identification of potential vulnerabilities such as SQL injection, cross-site scripting (XSS), CSRF, cryptography weaknesses, hardcoded passwords and many more.

• ？ SafeQL — Validate and auto-generate TypeScript types from raw SQL queries in PostgreSQL. SafeQL is an ESLint plugin for writing SQL queries in a type-safe way.

• ？ SAST Online ©️ — Check the Android Source code thoroughly to uncover and address potential security concerns and vulnerabilities. Static application security testing (Static Code Analysis) tool Online

• ？ Scrutinizer ©️ — A proprietary code quality checker that can be integrated with GitHub.

• ？ Security Code Scan — Security code analyzer for C# and VB.NET. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc. Integrates into Visual Studio 2015 and newer. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.

• ？ Semgrep — A fast, open-source, static analysis tool for finding bugs and enforcing code standards at editor, commit, and CI time. Its rules look like the code you already write; no abstract syntax trees or regex wrestling. Supports 17+ languages.

• ？ Semgrep Supply Chain ©️ — Quickly find and remediate high-priority security issues. Semgrep Supply Chain prioritizes the 2% of vulnerabilities that are reachable from your code.

• 815 113? ShiftLeft Scan) — Scan is a free open-source DevSecOps platform for detecting security issues in source code and dependencies. It supports a broad range of languages and CI/CD pipelines.

• 270 35? shipshape)ショ和— Static program analysis platform that allows custom analyzers to plug in through a common interface.

• ？ Sigrid ©️ — Sigrid helps you to improve your software by measuring your system's code quality, and then compares the results against a benchmark of thousands of industry systems to give you concrete advice on areas where you can improve.

• ？ Similarity Tester — A tool that finds similarities between or within files to support you encountering DRY principle violations.

• ？ Snyk Code ©️ — Snyk Code finds security vulnerabilities based on AI. Its speed of analysis allow us to analyse your code in real time and deliver results when you hit the save button in your IDE. Supported languages are Java, JavaScript, Python, PHP, C#, Go and TypeScript. Integrations with GitHub, BitBucket and Gitlab. It is free to try and part of the Snyk platform also covering SCA, containers and IaC.

• ？ SonarQube Cloud ©️ — SonarQube Cloud enables your team to deliver clean code consistently and efficiently with a code review tool that easily integrates into the cloud DevOps platforms and extend your CI/CD workflow. SonarQube Cloud provides a free plan.

• ？ SonarQube for IDE — SonarQube for IDE (formerly SonarLint) is a free IDE extension available for IntelliJ, VS Code, Visual Studio, and Eclipse, to find and fix coding issues in real-time, flagging issues as you code, just like a spell-checker. More than a linter, it also delivers rich contextual guidance to help developers understand why there is an issue, assess the risk, and educate them on how to fix it.

• ？ SonarQube Server — SonarQube empowers development teams with a code quality and security solution that deeply integrates into your enterprise environment; enabling you to deploy clean code consistently and reliably. SonarQube provides a free and open source Community Build.

• ？ Sonatype ©️ — Reports known vulnerabilities in common dependencies and recommends updated packages to minimize breaking changes

• ？ Soto Platform ©️ — Suite of static analysis tools consisting of the three components Sotoarc (Architecture Analysis), Sotograph (Quality Analysis), and Sotoreport (Quality report). Helps find differences between architecture and implementation, interface violations (eg external access of private parts of subsystems, detection of all classes, files, packages and subsystems which are strongly coupled by cyclical relationships and more. The Sotograph product family runs on Windows and Linux.

• ？ SourceMeter ©️ — Static Code Analysis for C/C++, Java, C#, Python, and RPG III and RPG IV versions (including free-form).

• 493 25? sqlvet) — Performs static analysis on raw SQL queries in your Go code base to surface potential runtime errors. It checks for SQL syntax error, identifies unsafe queries that could potentially lead to SQL injections makes sure column count matches value count in INSERT statements and validates table- and column names.

• ？ StaticReviewer ©️ — Static Reviewer executes code checks according to the most relevant Secure Coding Standards, OWASP, CWE, CVE, CVSS, MISRA, CERT, for 40+ programming languages, using 1000+ built-in validation rules for Security, Deadcode & Best Practices Available a module for Software Composition Analysis (SCA) to find vulnerabilities in open source and third party libraries.

• 113 17? Super-Linter) — Combination of multiple linters to install as a GitHub Action.

• ？ Svace ©️ — Static code analysis tool for Java,C,C++,C#,Go.

• ？ Synopsys ©️ — A commercial static analysis platform that allows for scanning of multiple languages (C/C++, Android, C#, Java, JS, PHP, Python, Node.JS, Ruby, Fortran, and Swift).

• ？ Teamscale ©️ — Static and dynamic analysis tool supporting more than 25 languages and direct IDE integration. Free hosting for Open Source projects available on request. Free academic licenses available.

• ？ TencentCodeAnalysis — Tencent Cloud Code Analysis (TCA for short, code-named CodeDog inside the company early) is a comprehensive platform for code analysis and issue tracking. TCA consist of three components, server, web and client. It integrates of a number of self-developed tools, and also supports dynamic integration of code analysis tools in various programming languages.

• 4873 592? ThreatMapper) — Vulnerability Scanner and Risk Evaluation for containers, serverless and hosts at runtime. ThreatMapper generates runtime BOMs from dependencies and operating system packages, matches against multiple threat feeds, scans for unprotected secrets, and scores issues based on severity and risk-of-exploit.

• 429 42? todocheck) — Linter for integrating annotated TODOs with your issue trackers

• 24121 2379? trivy) — A Simple and Comprehensive Vulnerability Scanner for Containers and other Artifacts, Suitable for CI. Trivy detects vulnerabilities of OS packages (Alpine, RHEL, CentOS, etc.) and application dependencies (Bundler, Composer, npm, yarn, etc.). Checks containers and filesystems.

• ？ trunk ©️ — Modern repositories include many technologies, each with its own set of linters. With 30+ linters and counting, Trunk makes it dead-simple to identify, install, configure, and run the right linters, static analyzers, and formatters for all your repos.

• 2015 594? TscanCode) — A fast and accurate static analysis solution for C/C++, C#, Lua codes provided by Tencent. Using GPLv3 license.

• 1633 64? Undebt) — Language-independent tool for massive, automatic, programmable refactoring based on simple pattern definitions.

• ？ Understand ©️ — Code visualization tool that provides code analysis, standards testing, metrics, graphing, dependency analysis and more for Ada, VHDL, and others.

• ？ Unibeautify — Universal code beautifier with a GitHub app. Supports HTML, CSS, JavaScript, TypeScript, JSX, Vue, C++, Go, Objective-C, Java, Python, PHP, GraphQL, Markdown, and more.

• ？ Upsource ©️ — Code review tool with static code analysis and code-aware navigation for Java, PHP, JavaScript and Kotlin.

• ？ Veracode ©️ — Find flaws in binaries and bytecode without requiring source. Support all major programming languages: Java, .NET, JavaScript, Swift, Objective-C, C, C++ and more.

• 769 225? WALA) — Static analysis capabilities for Java bytecode and related languages and for JavaScript.

• 2354 131? weggli) — A fast and robust semantic search tool for C and C++ codebases. It is designed to help security researchers identify interesting functionality in large codebases.

• ？ WhiteHat Application Security Platform ©️ — WhiteHat Scout (for Developers) combined with WhiteHat Sentinel Source (for Operations) supporting WhiteHat Top 40 and OWASP Top 10.

• 281 23? Wotan)ショ和— Pluggable TypeScript and JavaScript linter.

• ？ XCode ©️ — XCode provides a pretty decent UI for ? Clang's static code analyzer (C/C++, Obj-C).

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• 21 4? alquitran) — Inspects tar archives and tries to spot portability issues in regard to POSIX 2017 pax specification and common tar implementations. This project is intended to be used by maintainers of projects who want to offer portable source code archives for as many systems as possible. Checking tar archives with alquitran before publishing them should help spotting issues before they reach distributors and users.

• ？ packj — Packj (pronounced package) is a command line (CLI) tool to vet open-source software packages for "risky" attributes that make them vulnerable to supply chain attacks. This is the tool behind our large-scale security analysis platform Packj.dev that continuously vets packages and provides free reports.

• 238 7?純粋な）ショ和— Pure is a static analysis file format checker that checks ZIP files for dangerous compression ratios, spec deviations, malicious archive signatures, mismatching local and central directory headers, ambiguous UTF-8 filenames, directory and symlink traversals, invalid MS-DOS dates, overlapping headers, overflow, underflow, sparseness, accidental buffer bleeds etc.

• ？ AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• 7659 1088? angr) — Binary code analysis tool that also supports symbolic execution.

• 508 56? binbloom) — Analyzes a raw binary firmware and determines features like endianness or the loading address. The tool is compatible with all architectures. Loading address: binbloom can parse a raw binary firmware and determine its loading address. Endianness: binbloom can use heuristics to determine the endianness of a firmware. UDS Database: binbloom can parse a raw binary firmware and check if it contains an array containing UDS command IDs.

• 785 156? BinSkim) — A binary static analysis tool that provides security and correctness results for Windows portable executables.

• ？ Black Duck ©️ — Tool to analyze source code and binaries for reusable code, necessary licenses and potential security aspects.

• 4831 348? bloaty) — Ever wondered what's making your binary big? Bloaty McBloatface will show you a size profile of the binary so you can understand what's taking up space inside. Bloaty performs a deep analysis of the binary. Using custom ELF, DWARF, and Mach-O parsers, Bloaty aims to accurately attribute every byte of the binary to the symbol or compileunit that produced it. It will even disassemble the binary looking for references to anonymous data. f

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.

• 1164 122? cwe_checker) — cwe_checker finds vulnerable patterns in binary executables.

• ？ Ghidra — A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

• ？ Hopper ©️ — macOS and Linux reverse engineering tool that lets you disassemble, decompile and debug applications. Hopper displays the code using different representations, eg the Control Flow Graph, and the pseudo-code of a procedure. Supports Apple Silicon.

• ？ IDA Free ©️ — Binary code analysis tool.

• 158 24? Jakstab) — Jakstab is an Abstract Interpretation-based, integrated disassembly and static analysis framework for designing analyses on executables and recovering reliable control flow graphs.

• ？ JEB Decompiler ©️ — Decompile and debug binary code. Break down and analyze document files. Android Dalvik, MIPS, ARM, Intel x86, Java, WebAssembly & Ethereum Decompilers.

• ？ ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• 1025 161? Manalyze) — A static analyzer, which checks portable executables for malicious content.

• 2670 341? mcsema)ショ和— Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode. It translates ("lifts") executable binaries from native machine code to LLVM bitcode, which is very useful for performing program analysis methods.

• 533 80? Nauz File Detector) — Static Linker/Compiler/Tool detector for Windows, Linux and MacOS.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities. This works by embedding data about the dependency tree (Cargo.lock) in JSON format into a dedicated linker section of the compiled executable.

• ？ Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• 367 42? VMware chap) — chap analyzes un-instrumented ELF core files for leaks, memory growth, and corruption. It is sufficiently reliable that it can be used in automation to catch leaks before they are committed. As an interactive tool, it helps explain memory growth, can identify some forms of corruption, and supplements a debugger by giving the status of various memory locations.

• ？ zydis — Fast and lightweight x86/x86-64 disassembler library

• 1048 45? checkmake)ショ和— Linter / Analyzer for Makefiles.

• ？ portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• ？ CSS Stats — Potentially interesting stats on stylesheets.

• 3291 458? CSScomb) — A coding style formatter for CSS. Supports own configurations to make style sheets beautiful and consistent.

• CSSLint — Does basic syntax checking and finds problematic patterns or signs of inefficiency.

• ？ GraphMyCSS.com — CSS Specificity Graph Generator.

• ？ Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 2471 72? Parker)ショ和— Stylesheet analysis tool.

• ？ PostCSS — A tool for transforming styles with JS plugins. These plugins can lint your CSS, support variables and mixins, transpile future CSS syntax, inline images, and more.

• ？ Project Wallace CSS Analyzer — Analytics for CSS, part of ? Project Wallace.

• 1767 529? sass-lint)ショ和— A Node-only Sass linter for both sass and scss syntax.

• 3659 465? scsslint) — Linter for SCSS files.

• ？ Specificity Graph — CSS Specificity Graph Generator.

• Stylelint — Linter for SCSS/CSS files.

• ？ dotenv-linter — Linting dotenv files like a charm.

• ？ dotenv-linter (Rust) — Lightning-fast linter for .env files. Written in Rust

• 8300 397? gixy) — A tool to analyze Nginx configuration. The main goal is to prevent misconfiguration and automate flaw detection.

• ？ ansible-lint — Checks playbooks for practices and behaviour that could potentially be improved.

• 1308 183? AWS CloudFormation Guard) — Check local CloudFormation templates against policy-as-code rules and generate rules from existing templates.

• ？ AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• 2470 597? cfn-lint) — AWS Labs CloudFormation linter.

• 1258 211? cfn_nag) — A linter for AWS CloudFormation templates.

• ？ checkov — Static analysis tool for Terraform files (tf>=v0.12), preventing cloud misconfigs at build time.

• ？ cookstyle — Cookstyle is a linting tool based on the RuboCop Ruby linting tool for Chef cookbooks.

• foodcritic — A lint tool that checks Chef cookbooks for common problems.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 818 205? Puppet Lint)ショ和— Check that your Puppet manifests conform to the style guide.

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ？ terraform-compliance — A lightweight, compliance- and security focused, BDD test framework against Terraform.

• 4786 507? terrascan) — Collection of security and best practice tests for static code analysis of Terraform templates.

• 5017 358? tflint) — A Terraform linter for detecting errors that can not be detected by terraform plan .

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ？ anchore — Discover, analyze, and certify container images. A service that analyzes Docker images and applies user-defined acceptance policies to allow automated container image validation and certification

• 10425 1167? clair) — Vulnerability Static Analysis for Containers.

• 290 23?コレクタ）ショ和— Run arbitrary scripts inside containers, and gather useful information.

• 1163 164? dagda)ショ和— Perform static analysis of known vulnerabilities in docker images/containers.

• 79 5? Docker Label Inspector)ショ和— Lint and validate Dockerfile labels.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 10559 422? Haskell Dockerfile Linter) — A smarter Dockerfile linter that helps you build best practice Docker images.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane dashboard presents current RBAC security posture and lets you navigate through its definition.

• ？ OpenSCAP — Suite of automated audit tools to examine the configuration and known vulnerabilities following the NIST-certified Security Content Automation Protocol (SCAP).

• ？ Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• ？ sysdig ©️ — A secure DevOps platform for cloud and container forensics. Built on an open source stack, Sysdig provides Docker image scanning and created Falco, the open standard for runtime threat detection for containers, Kubernetes and cloud.

• ？ Vuls — Agent-less Linux vulnerability scanner based on information from NVD, OVAL, etc. It has some container image support, although is not a container specific tool.

• ？ actionlint — Static checker for GitHub Actions workflow files. Provides an online version.

• ？ AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• ？ Code Climate — The open and extensible static analysis platform, for everyone.

• ？ Codecov ©️ — Codecov is a company that provides code coverage tools for developers and engineering leaders to gain visibility into their code coverage. They offer flexible and unified reporting, seamless coverage insights, and robust coverage controls. Codecov supports over 20 languages and is CI/CD agnostic. Over 29,000 organizations and 1 million developers use Codecov. Codecov has recently joined Sentry.

• ？ CodeRabbit ©️ — AI-powered code review tool that helps developers write better code faster. CodeRabbit provides automated code reviews, identifies security vulnerabilities, and suggests code improvements. It integrates with GitHub and GitLab.

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ？ Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ？ Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ？ Diffblue ©️ — Diffblue is a software company that provides AI-powered code analysis and testing solutions for software development teams. Its technology helps developers automate testing, find bugs, and reduce manual labor in their software development processes. The company's main product, Diffblue Cover, uses AI to generate and run unit tests for Java code, helping to catch errors and improve code quality.

• ？ Exakat - PHPのエンジンをレビューする自動コード。

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ Goblint — A static analyzer for the analysis of multi-threaded C programs. Its primary focus is the detection of data races, but it also reports other runtime errors, such as buffer overflows and null-pointer dereferences.

• ？ Nitpick CI ©️ — Automated PHP code review.

• ？ PullRequest ©️ — Code review as a service with built-in static analysis. Increase velocity and reduce technical debt through quality code review by expert engineers backed by best-in-class automation.

• 155 18?品質）ショ和— Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.

• 111 23? QuantifiedCode)ショ和— Automated code review & repair. It helps you to keep track of issues and metrics in your software projects, and can be easily extended to support new types of analyses.

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 8053 427? Reviewdog) — A tool for posting review comments from any linter in any code hosting service.

• ？ Symfony Insight©il - セキュリティリスクを検出し、バグを見つけ、PHPプロジェクトに実用的なメトリックを提供します。

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Jenkins、Maven、Gradleプラグインの束が使用しています。

• 1552 173? deno_lint) — Official linter for Deno.

• 59 29? oelint-adv) — Linter for bitbake recipes used in open-embedded and YOCTO

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 179 75? gherkin-lint) — A linter for the Gherkin-Syntax written in Javascript.

• 1666 230? Angular ESLint) — Linter for Angular projects

• 2395 311? Bootlint)ショ和— An HTML linter for Bootstrap projects.

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 66 22? grunt-bootlint)ショ和— A Grunt wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 42 8? gulp-bootlint)ショ和— A gulp wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 2318 145? HTML Inspector)ショ和— HTML Inspector is a code quality tool to help you and your team write better markup.

• HTML Tidy — Corrects and cleans up HTML and XML documents by fixing markup errors and upgrading legacy code to modern standards.

• ？ HTML-Validate — Offline HTML5 validator.

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• ？ HTMLHint — A Static Code Analysis Tool for HTML.

• ？ Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 431 201? Polymer-analyzer) — A static analysis framework for Web Components.

• ？ jsonlint — A JSON parser and validator with a CLI. Standalone version of jsonlint.com

• ？ Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• 1377 218? chart-testing) — ct is the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.

• 550 45? clusterlint) — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.

• ？ Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 42 10? klint) — A tool that listens to changes in Kubernetes resources and runs linting rules against them. Identify and debug erroneous objects and nudge objects in line with the policies as both change over time. Klint helps us encode checks and proactively alert teams when they need to take action.

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane dashboard presents current RBAC security posture and lets you navigate through its definition.

• ？ kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 157 12? kube-lint) — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.

• 3011 239? kube-linter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ？ kube-score — Static code analysis of your Kubernetes object definitions.

• 2334 126? kubeconform) — A fast Kubernetes manifests validator with support for custom resources.

It is inspired by, contains code from and is designed to stay close to ? Kubeval, but with the following improvements:

• high performance: will validate & download manifests over multiple routines, caching downloaded files in memory
• configurable list of remote, or local schemas locations, enabling validating Kubernetes custom resources (CRDs) and offline validation capabilities
• uses by default a self-updating fork of the schemas registry maintained by the kubernetes-json-schema project - which guarantees up-to-date schemas for all recent versions of Kubernetes.

• 3011 239? KubeLinter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ？ kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.

• ChkTeX — A linter for LaTex which catches some typographic errors LaTeX oversees.

• ？ lacheck — A tool for finding common mistakes in LaTeX documents.

• ？ TeXLab — A Language Server Protocol implementation for TeX/LaTeX, including lint capabilities.

• ？ Enlightn - Laravelアプリのパフォーマンス、セキュリティ、コードの信頼性を向上させるための推奨事項を提供するLaravelアプリケーション用の静的および動的分析ツール。 Contains 120 automated checks.

• 5639 424? larastan) — Adds static analysis to Laravel improving developer productivity and code quality. It is a wrapper around PHPStan.

• 1048 45? checkmake)ショ和— Linter / Analyzer for Makefiles.

• ？ portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• 4891 740? markdownlint) — Node.js -based style checker and lint tool for Markdown/CommonMark files.

• ？ mdformat — CommonMark compliant Markdown formatter

• 1837 230? mdl) — A tool to check Markdown files and flag style issues.

• 28 0? mdsf) — Format markdown code blocks using your favorite code formatters.

• ？ remark-lint — Pluggable Markdown code style linter written in JavaScript.

• ？ textlint — textlint is an open source text linting utility written in JavaScript.

• 26 10? ciocheck)ショ和 - リナー、フォーマッタ、テストスイートヘルパー。リナーとして、 pep8 、 pydocstyle 、 flake8 、およびpylintのラッパーです。

• 3488 310? flake8) — A wrapper around pyflakes , pycodestyle and mccabe .

• ？ flakeheaven — flakeheaven is a python linter built around flake8 to enable inheritable and complex toml configuration.

• 3507 267? Go Meta Linter)ショ和 - 同時に糸くずツールを実行し、それらの出力を正規化します。新しいプロジェクトにはgolangci-lintを使用してください。

• 3130 271? goreporter) — Concurrently runs many linters and normalises their output to a report.

• 28 6? multilint)ショ和- flake8 、 isort 、およびmodernizeラッパー。

• 1964 172? prospector) — A wrapper around pylint , pep8 , mccabe and others.

• Android Lint — Run static analysis on Android projects.

• ？ android-lint-summaryショ和— Combines lint errors of multiple projects into one output, check lint results of multiple sub-projects at once.

• 1084 300? FlowDroid) — Static taint analysis tool for Android applications.

• ？ iblessingショ和— iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• ？ Mariana Trench — Our security focused static analysis tool for Android and Java applications. Mariana Trench analyzes Dalvik bytecode and is built to run fast on large codebases (10s of millions of lines of code). It can find vulnerabilities as code changes, before it ever lands in your repository.

• ？ Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• 74 17?パプリカ）ショ和— A toolkit to detect some code smells in analyzed Android applications.

• 3215 644? qark)ショ和— Tool to look for several security related Android application vulnerabilities.

• ？ redex — Redex provides a framework for reading, writing, and analyzing .dex files, and a set of optimization passes that use this framework to improve the bytecode. An APK optimized by Redex should be smaller and faster.

• 525 13? deadnix) — Scan Nix files for dead code (unused variable bindings)

• ？ statix — Lints and suggestions for the Nix programming language. "statix check" highlights antipatterns in Nix code. "statix fix" can fix several such occurrences.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ？ njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ？ NodeJSScan — A static security code scanner for Node.js applications powered by libsast and semgrep that builds on the njsscan cli tool.アプリケーションのセキュリティステータスに関するさまざまなダッシュボードを備えたUIを備えています。

• 標準 - JavaScript StyleGuideの問題をチェックするNPMモジュール。

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ？ Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ？ Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ？ lintian — Static analysis tool for Debian packages.

• 135 117? rpmlint) — Tool for checking common errors in rpm packages.

• 35 8? promformat)ショ和— Promformat is a PromQL formatter written in Python.

• 4 7? promval) — PromQL validator written in Python. It can be used to validate that PromQL expressions are written as expected.

• ？ buf — Provides a CLI linter that enforces good API design choices and structure

• 588 52? protolint) — Pluggable linter and fixer to enforce Protocol Buffer style and conventions.

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications. Sinatra、Padrino、Ruby on Railsフレームワークをサポートしています。

• ？ AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• ？ brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.

• 328 49? Credential Digger) — Credential Digger is a GitHub scanning tool that identifies hardcoded credentials (Passwords, API Keys, Secret Keys, Tokens, personal information, etc), and filtering the false positive data through a machine learning model called ? Password Model. This scanner is able to detect passwords and non structured tokens with a low false positive rate.

• ？ Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• 3869 481? detect-secrets) — An enterprise friendly way of detecting and preventing secrets in code. It does this by running periodic diff outputs against heuristically crafted regex statements, to identify whether any new secret has been committed. This way, it avoids the overhead of digging through all git history, as well as the need to scan the entire repository every time.

• ？ Enlightn - Laravelアプリのパフォーマンス、セキュリティ、コードの信頼性を向上させるための推奨事項を提供するLaravelアプリケーション用の静的および動的分析ツール。 Contains 120 automated checks.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 18218 1492? Gitleaks) — A SAST tool for detecting hardcoded secrets like passwords, api keys, and tokens in git repos.

• 2181 110? gokart) — Golang security analysis with a focus on minimizing false positives.変数のソースと関数引数を追跡して、入力ソースが安全かどうかを判断することができます。

• ？ HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ？ iblessingショ和— iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• ？ ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• ？ kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ？ LunaSec — Open Source AppSec platform that automatically notifies you the next time vulnerabilities like Log4Shell or node-ipc happen. Track your dependencies and builds in a centralized service.

• ？ njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ？ NodeJSScan — A static security code scanner for Node.js applications powered by libsast and semgrep that builds on the njsscan cli tool.アプリケーションのセキュリティステータスに関するさまざまなダッシュボードを備えたUIを備えています。

• ？ Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• ？ PT Application Inspector ©️ — Identifies code flaws and detects vulnerabilities to prevent web attacks. Demonstrates remote code execution by presenting possible exploits.

• ？ Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• 111 23? QuantifiedCode) ️ — Automated code review & repair. It helps you to keep track of issues and metrics in your software projects, and can be easily extended to support new types of analyses.

• ？ Rezilion ©️ — Discovers vulnerabilities for all components in your environment, filters out 85% non-exploitable vulnerabilities and creates a remediation plan and open tickets to upgrade components that violate your security policy and/or patch automatically in CI.

• 4672 508? scorecard) — Security Scorecards - Security health metrics for Open Source

• ？ SearchDiggity ©️ — Identifies vulnerabilities in open source code projects hosted on Github, Google Code, MS CodePlex, SourceForge, and more. The tool comes with over 130 default searches that identify SQL injection, cross-site scripting (XSS), insecure remote and local file includes, hard-coded passwords, etc.

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ？ Symfony Insight©il - セキュリティリスクを検出し、バグを見つけ、PHPプロジェクトに実用的なメトリックを提供します。

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ？ trufflehog — Find credentials all over the place TruffleHog is an open source secret-scanning engine that resolves exposed secrets across your company's entire tech stack.

• 8299 896? Tsunami Security Scanner) — A general purpose network security scanner with an extensible plugin system for detecting high severity RCE-like vulnerabilities with high confidence. Custom detectors for finding vulnerabilities (eg open APIs) can be added.

• 3904 744? mythril) — A symbolic execution framework with batteries included, can be used to find and exploit vulnerabilities in smart contracts automatically.

• ？ MythX ©️ — MythX is an easy to use analysis platform which integrates several analysis methods like fuzzing, symbolic execution and static analysis to find vulnerabilities with high precision. It can be integrated with toolchains like Remix or VSCode or called from the command-line.

• 5406 982? slither) — Static analysis framework that runs a suite of vulnerability detectors, prints visual information about contract details, and provides an API to easily write custom analyses.

• ？ solhint — Solhint is an open source project created by https://protofire.io. Its goal is to provide a linting utility for Solidity code.

• ？ solium — Solium is a linter to identify and fix style and security issues in Solidity smart contracts.

• 23 7? LibVCS4j) — A Java library that allows existing tools to analyse the evolution of software systems by providing a common API for different version control systems and issue trackers.

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Jenkins、Maven、Gradleプラグインの束が使用しています。

• 267 237? ember-template-lint) — Linter for Ember or Handlebars templates.

• 318 101? haml-lint) — Tool for writing clean and consistent HAML.

• 210 60? slim-lint) — Configurable tool for analyzing Slim templates.

• ？ yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 369 15? shisho) ️ — A lightweight static code analyzer designed for developers and security teams. SEDと同様の直感的なDSLでソースコードを分析および変換することができますが、コード用です。

• 50 10? dennis) — A set of utilities for working with PO files to ease development and improve quality.

• ？ HTML-Validate — Offline HTML5 validator.

• ？ Vetur ️ — Vue tooling for VS Code, powered by vls (vue language server). Vetur has support for formatting embedded HTML, CSS, SCSS, JS, TypeScript, and more. Vetur only has a "whole document formatter" and cannot format arbitrary ranges.

• ？ Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• ？ After the Deadline ️ — Spell, style and grammar checker.

• ？ alex — Catch insensitive, inconsiderate writing

• 1964 472? codespell) — Check code for common misspellings.

• ？ languagetool — Style and grammar checker for 25+ languages. It finds many errors that a simple spell checker cannot detect.

• 193 23? misspell-fixer) ️ — Quick tool for fixing common misspellings, typos in source code.

• ？ Misspelled Words In Context — A spell-checker that groups possible misspellings and shows them in their contexts.

• 4368 179? proselint) — A linter for English prose with a focus on writing style instead of grammar.

• ？ vale — A syntax-aware linter for prose built with speed and extensibility in mind.

• 4966 190? write-good) — A linter with a focus on eliminating "weasel words".

• ？ Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• ？ yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ？ commitlint — checks if your commit messages meet the conventional commit format

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ? ?? Clean code linters) — A collection of linters in github collections
• ? ?? Code Quality Checker Tools For PHP Projects) — A collection of PHP linters in github collections
• 6262 377? go-tools) — A collection of tools and libraries for working with Go code, including linters and static analysis
• 342 31? linters) — An introduction to static code analysis
• ？ OWASP Source Code Analysis Tools — List of tools maintained by the Open Web Application Security Project
• 2827 245? php-static-analysis-tools) — A reviewed list of useful PHP static analysis tools
• Wikipedia — A list of tools for static code analysis.

To the extent possible under law, ? Matthias Endler has waived all copyright and related or neighboring rights to this work. The underlying source code used to format and display that content is licensed under the MIT license.

Title image Designed by Freepik.

13455 1361? analysis-tools-dev/static-analysis)