fucking static analysis

이 저장소에는 모든 프로그래밍 언어, 도구 빌드, 구성 파일 등에 대한 정적 분석 도구가 나와 있습니다. 초점은 Linters 및 Formatters와 같은 코드 품질을 향상시키는 도구에 중점을 둡니다. 공식 웹 사이트,? Analysis-Tools.dev는이 저장소를 기반으로하며 각 도구의 순위, 사용자 댓글 및 추가 리소스를 추가합니다.

이 프로젝트는 스폰서의 관대 한 지원 없이는 불가능할 것입니다.

이 프로젝트를 지원하고 싶다면 우리로 가십시오 ? ?? Github 스폰서 페이지).

• © ️는 독점 소프트웨어를 나타냅니다. 다른 모든 도구는 오픈 소스입니다.
• 커뮤니티는 더 이상 새로운 프로젝트 에이 도구를 사용하지 않는 것이 좋습니다. 아이콘은 토론 문제와 연결됩니다.
• 켈 이 도구는 1 년 이상 업데이트되지 않았거나 레포가 보관되었음을 의미합니다.

풀 요청은 매우 환영합니다!
또한 자매 프로젝트, 958 106? 굉장한 일증 분석).

• ABAP
• 아다
• 집회
• 어색한
• 기음
• 기음#
• C ++
• Clojure
• 커피 스크립트
• 냉담
• 결정
• 다트
• 델파이
• Dlang
• 엘릭서
• 엘름
• Erlang
• 에프#
• 포트란
• 가다
• 그루비
• 하스켈
• HAXE
• 자바
• 자바 스크립트
• 줄리아
• 코 틀린
• 루아
• MATLAB
• 님
• OCAML
• PHP
• PL/SQL
• 펄
• 파이썬
• 아르 자형
• 레고
• 루비
• 녹
• SQL
• 스칼라
• 껍데기
• 스위프트
• TCL
• TypeScript
• Verilog/SystemVerilog
• VIM 스크립트

• ? ABAPLINT - ABAP 용 Linter, TypeScript로 작성되었습니다.

• ? abapopenchecks - 새롭고 맞춤형 점검으로 SAP 코드 검사관을 향상시킵니다.

• ? Codepeer © ️-런타임 및 로직 오류를 감지합니다.

• ? ADA의 폴리 스페이스-© ️-오버플로, 제로별로 나누기, 바운드 외 배열 액세스 및 소스 코드의 기타 런타임 오류가 없음을 증명하는 코드 검증을 제공합니다.

• ? SPARK © ️ - ADA의 정적 분석 및 공식 검증 도구 세트.

• 749 75? 스토크) 켈 -X86_64 명령어 세트를위한 프로그래밍 언어 불가지성 확률 적 최적화. 임의의 검색을 사용하여 가능한 모든 프로그램 변환의 매우 고차원 공간을 탐색합니다.

• ? Gawk -Lint -는 다른 AWK 구현에 모호하거나 포송 할 수없는 구성에 대해 경고합니다.

• ? ASTREE © ️ - Astrée는 C/C ++ 애플리케이션에서 런타임 오류가없고 동시 동작이 잘못된 동시 동작을 자동으로 증명합니다. 부동 소수점 계산에는 매우 빠르며 매우 정확합니다. 분석기는 또한 MISRA/CERT/CWE/ADAPTIVE AUTOSAR 코딩 규칙을 확인하고 ISO 26262, DO-178C 레벨 A 및 기타 안전 표준의 자격을 지원합니다. Jenkins 및 Eclipse 플러그인을 사용할 수 있습니다.

• CBMC-C 프로그램, 사용자 정의 어설 션, 표준 어설 션, 여러 적용 범위 메트릭 분석에 대한 모델 체커.

• ? Clang-Tidy-문제를 해결할 수있는 (제한된) 기능을 갖춘 Clang 기반 C ++ Linter 도구.

• 672 94? Clazy)-Clang 프레임 워크를 기반으로 한 QT 지향 정적 코드 분석기. Clazy는 Clang이 QT 시맨틱을 이해할 수있는 컴파일러 플러그인입니다. 불필요한 메모리 할당에서부터 자동 리팩토링을위한 수정 사항을 포함하여 API의 오해에 이르기까지 50 개 이상의 QT 관련 컴파일러 경고를받습니다.

• 72 27? CMetrics) - C 파일의 크기 및 복잡성을 측정합니다.

• ? CPACHECKER - C 프로그램의 구성 가능한 소프트웨어 검증을위한 도구. CPACHECKER라는 이름은이 도구가 CPA 개념을 기반으로하며 소프트웨어 프로그램을 확인하는 데 사용된다는 것을 반영하도록 선택되었습니다.

• ? CPPCHECK - C/C ++ 코드의 정적 분석.

• ? CPPDENCER © ØNEL - 코드를 측정, 쿼리 및 시각화하고 예기치 않은 문제, 기술 부채 및 복잡성을 피하십시오.

• 37674 13306? CPPLINT) - Google의 스타일 가이드를 따르는 자동화 된 C ++ 검사기.

• 64 11? CQMetrics) - C 코드의 품질 메트릭.

• ? CSCOUT - C 및 C 전 처리기 코드의 복잡성 및 품질 메트릭.

• 14 3? ENRE-CPP)-ENRE (엔티티 관계 추출기)는 소스 코드에서 코드 엔티티 종속성 또는 관계의 추출을위한 도구입니다. ENRE-CPP는 @eclipse/cdt를 기반으로 C/C ++의 엔티티 관계 추출기입니다. (개발 중)

• ESBMC-ESBMC는 단일 및 다중 스레드 C/C ++ 프로그램의 검증을위한 만족도 모듈로 이론을 기반으로 허가 된 컨텍스트 마운트 모델 체커 인 오픈 소스입니다.

• 결함 켈 - 가능한 보안 약점을 찾습니다.

• 266 21? 플린트 ++) 켈 -Facebook에서 개발되고 사용되는 C ++를위한 보풀 프로그램 인 Flint의 크로스 플랫폼, 제로 의존성 포트.

• ? Frama-C-C 코드를위한 사운드 및 확장 가능한 정적 분석기.

• ? GCC - GCC 컴파일러에는 버전 10 이후 정적 분석 기능이 있습니다.이 옵션은 GCC가 분석기 지원 활성화로 구성된 경우에만 사용할 수 있습니다. 또한 진단을 SARIF 형식 (v13)의 JSON 파일로 출력 할 수도 있습니다.

• ? GOBLINT-다중 스레드 C 프로그램 분석을위한 정적 분석기. 주요 초점은 데이터 레이스의 감지이지만 버퍼 오버플로 및 널 포인터 단축과 같은 다른 런타임 오류도보고합니다.

• ? Helix QAC © ️-임베디드 소프트웨어에 대한 엔터프라이즈 급 정적 분석. Misra, Cert 및 Autosar 코딩 표준을 지원합니다.

• 2771 191? IKOS) - LLVM을 기반으로 한 C/C ++ 코드 용 사운드 정적 분석기.

• ? Joern-코드 속성 그래프를 기반으로 한 C/C ++를위한 오픈 소스 코드 분석 플랫폼

• KLEE - LLVM 컴파일러 인프라 위에 구축 된 동적 상징적 실행 엔진. 시험 사례가 가능한 한 많은 프로그램을 운동하도록 프로그램의 테스트 사례를 자동 생성 할 수 있습니다.

• ? LDRA © ️ - Misra C & C ++, JSF ++ AV, CWE, CERT C ++ 및 사용자 정의 규칙을 포함한 다양한 표준에 대한 정적 분석 (TBVISION)을 포함한 도구 제품군.

• ? 친구 켈 - C 및 C ++ 코드의 버그 사냥에 중점을 둔 대화식 프로그램 분석 도구 제품군. Mate는 CPG (Code Property Graphs)를 사용하여 애플리케이션 별 및 저수준 취약성 분석을 통일하여 구현 세부 사항과 대상 C/C ++ 프로그램의 높은 수준의 의미론에 의존하는 고도로 응용 프로그램 별 취약점을 발견 할 수 있습니다.

• ? PC-LINT © ️-C/C ++에 대한 정적 분석. Windows/Linux/MacOS에서 기본적으로 실행됩니다. C11/C18 및 C ++ 17을 지원하는 거의 모든 플랫폼에 대한 코드를 분석합니다.

• ? PHASAR-오염 및 유형 상태 분석과 함께 제공되는 LLVM 기반 정적 분석 프레임 워크.

• ? Polyspace Bug Finder © ️-런타임 오류, 동시성 문제, 보안 취약점 및 C 및 C ++ 임베디드 소프트웨어의 기타 결함을 식별합니다.

• ? PolySpace Code Prover © ️-C 및 C ++ 소스 코드의 오버플로, 제로별로 나누기, 구역 외 배열 액세스 및 기타 런타임 오류가 없음을 증명하는 코드 검증을 제공합니다.

• ? SCAN-BUILD-일반 빌드를 통해 Clang에 내장 된 Clang 정적 분석기를 구동하려면 Frontend.

• Splint-주석 보조 정적 프로그램 검사기.

• ? SVF - C 및 C ++ 프로그램에 대한 확장 가능하고 정밀한 간호 적 의존성 분석을 가능하게하는 정적 도구.

• ? TrustInsoft Analyzer © ️ - 코딩 오류 및 관련 보안 취약점의 철저한 감지. 여기에는 사운드 정의되지 않은 동작 감지 (버퍼 오버 플로우, 바운드 외 배열 액세스, 널 포인터 탈 등급, 사용되지 않음, 비체 별, 무시되지 않은 메모리 액세스, 서명 된 오버플로, 데이터 흐름 등), 데이터 흐름 및 제어 흐름 검증 및 공식 사양의 완전한 기능 검증이 포함됩니다. 모든 버전의 C는 최대 C18 및 C ++ 최대 C ++ 20의 모든 버전이 지원됩니다. Trustinsoft Analyzer는 20123 년 2 분기 (TCL3)에서 ISO 26262 자격을 취득합니다. Misra C 체커도 번들로 제공됩니다.

• ? 베라 ++ 켈 - Vera ++는 C ++ 소스 코드의 검증, 분석 및 변환을위한 프로그래밍 가능한 도구입니다.

• .NET 분석기 - .NET 컴파일러 플랫폼을 사용한 분석기 (진단 및 코드 수정) 개발 조직.

• 949 61? Archunitnet) - AC# 아키텍처 테스트 라이브러리 자동 테스트를 위해 C#의 아키텍처 규칙을 지정하고 주장합니다.

• ? Code-Cracker-Roslyn을 사용하여 Refactorings, Code Analysis 및 기타 니스를 생성하는 C# 및 VB 용 분석기 라이브러리.

• 160 26? csharpestionals) 켈 - C# Essentials는 C# 6 언어 기능으로 쉽게 작업 할 수있는 Roslyn 진단 분석기, 코드 수정 및 리팩토링 모음입니다.

• DESIGNITE © Ø️ - Designite는 다양한 아키텍처, 설계 및 구현 냄새의 탐지, 다양한 코드 품질 메트릭의 계산 및 추세 분석을 지원합니다.

• ? Gendarme - Gendarme은 ECMA CIL 형식 (모노 및 .NET)의 코드를 포함하는 프로그램 및 라이브러리를 검사합니다.

• 737 29? 미루다#) 켈 - Infersharp (ult#이라고도 함)는 C#에 대한 문의적이고 확장 가능한 정적 코드 분석기입니다. Facebook의 추론 기능을 통해이 도구는 Null 포인터 부조 및 자원 누출을 감지합니다.

• 965 51? Meziantou.analyzer) - 설계, 사용, 보안, 성능 및 스타일 측면에서 C#의 일부 모범 사례를 시행하는 Roslyn 분석기.

• ndepend © ️ - 코드를 측정, 쿼리 및 시각화하고 예기치 않은 문제, 기술 부채 및 복잡성을 피하십시오.

• ? PUMA 스캔 - PUMA 스캔은 개발 팀이 Visual Studio에 코드를 작성함에 따라 일반적인 취약성 (XSS, SQLI, CSRF, LDAPI, LDAPI, Crypto, Deserialization 등)에 대한 실시간 보안 코드 분석을 제공합니다.

• 3128 263? Roslynator) - Roslyn이 구동하는 C#용 190 개 이상의 분석기 및 190+ 리팩토링 컬렉션.

• 803 229? Sonaranalyzer.csharp) -이 Roslyn 분석기를 사용하면 코드베이스에서 버그, 취약점 및 코드 냄새를 찾아서 수정하여 안전하고 신뢰할 수 있으며 유지 관리 가능한 깨끗한 코드를 생성 할 수 있습니다.

• 65 16? vsdiagnostics) 켈 - VS와 통합되는 Roslyn을 기반으로 한 정적 분석기 모음.

• 91 10? WintEllect.analyzers) - .NET Compiler Platform ( "Roslyn") 진단 분석기 및 코드 수정.

• ? ASTREE © ️ - Astrée는 C/C ++ 애플리케이션에서 런타임 오류가없고 동시 동작이 잘못된 동시 동작을 자동으로 증명합니다. 부동 소수점 계산에는 매우 빠르며 매우 정확합니다. 분석기는 또한 MISRA/CERT/CWE/ADAPTIVE AUTOSAR 코딩 규칙을 확인하고 ISO 26262, DO-178C 레벨 A 및 기타 안전 표준의 자격을 지원합니다. Jenkins 및 Eclipse 플러그인을 사용할 수 있습니다.

• CBMC-C 프로그램, 사용자 정의 어설 션, 표준 어설 션, 여러 적용 범위 메트릭 분석에 대한 모델 체커.

• ? Clang-Tidy-문제를 해결할 수있는 (제한된) 기능을 갖춘 Clang 기반 C ++ Linter 도구.

• 672 94? Clazy)-Clang 프레임 워크를 기반으로 한 QT 지향 정적 코드 분석기. Clazy는 Clang이 QT 시맨틱을 이해할 수있는 컴파일러 플러그인입니다. 불필요한 메모리 할당에서부터 자동 리팩토링을위한 수정 사항을 포함하여 API의 오해에 이르기까지 50 개 이상의 QT 관련 컴파일러 경고를받습니다.

• 72 27? CMetrics) - C 파일의 크기 및 복잡성을 측정합니다.

• ? CPPCHECK - C/C ++ 코드의 정적 분석.

• ? CPPDENCER © ØNEL - 코드를 측정, 쿼리 및 시각화하고 예기치 않은 문제, 기술 부채 및 복잡성을 피하십시오.

• 37674 13306? CPPLINT) - Google의 스타일 가이드를 따르는 자동화 된 C ++ 검사기.

• 64 11? CQMetrics) - C 코드의 품질 메트릭.

• ? CSCOUT - C 및 C 전 처리기 코드의 복잡성 및 품질 메트릭.

• 14 3? ENRE-CPP)-ENRE (엔티티 관계 추출기)는 소스 코드에서 코드 엔티티 종속성 또는 관계의 추출을위한 도구입니다. ENRE-CPP는 @eclipse/cdt를 기반으로 C/C ++의 엔티티 관계 추출기입니다. (개발 중)

• ESBMC-ESBMC는 단일 및 다중 스레드 C/C ++ 프로그램의 검증을위한 만족도 모듈로 이론을 기반으로 허가 된 컨텍스트 마운트 모델 체커 인 오픈 소스입니다.

• 결함 켈 - 가능한 보안 약점을 찾습니다.

• 266 21? 플린트 ++) 켈 -Facebook에서 개발되고 사용되는 C ++를위한 보풀 프로그램 인 Flint의 크로스 플랫폼, 제로 의존성 포트.

• ? Frama-C-C 코드를위한 사운드 및 확장 가능한 정적 분석기.

• ? Helix QAC © ️-임베디드 소프트웨어에 대한 엔터프라이즈 급 정적 분석. Misra, Cert 및 Autosar 코딩 표준을 지원합니다.

• 2771 191? IKOS) - LLVM을 기반으로 한 C/C ++ 코드 용 사운드 정적 분석기.

• ? Joern-코드 속성 그래프를 기반으로 한 C/C ++를위한 오픈 소스 코드 분석 플랫폼

• KLEE - LLVM 컴파일러 인프라 위에 구축 된 동적 상징적 실행 엔진. 시험 사례가 가능한 한 많은 프로그램을 운동하도록 프로그램의 테스트 사례를 자동 생성 할 수 있습니다.

• ? LDRA © ️ - Misra C & C ++, JSF ++ AV, CWE, CERT C ++ 및 사용자 정의 규칙을 포함한 다양한 표준에 대한 정적 분석 (TBVISION)을 포함한 도구 제품군.

• ? 친구 켈 - C 및 C ++ 코드의 버그 사냥에 중점을 둔 대화식 프로그램 분석 도구 제품군. Mate는 CPG (Code Property Graphs)를 사용하여 애플리케이션 별 및 저수준 취약성 분석을 통일하여 구현 세부 사항과 대상 C/C ++ 프로그램의 높은 수준의 의미론에 의존하는 고도로 응용 프로그램 별 취약점을 발견 할 수 있습니다.

• ? PC-LINT © ️-C/C ++에 대한 정적 분석. Windows/Linux/MacOS에서 기본적으로 실행됩니다. C11/C18 및 C ++ 17을 지원하는 거의 모든 플랫폼에 대한 코드를 분석합니다.

• ? PHASAR-오염 및 유형 상태 분석과 함께 제공되는 LLVM 기반 정적 분석 프레임 워크.

• ? Polyspace Bug Finder © ️-런타임 오류, 동시성 문제, 보안 취약점 및 C 및 C ++ 임베디드 소프트웨어의 기타 결함을 식별합니다.

• ? PolySpace Code Prover © ️-C 및 C ++ 소스 코드의 오버플로, 제로별로 나누기, 구역 외 배열 액세스 및 기타 런타임 오류가 없음을 증명하는 코드 검증을 제공합니다.

• ? SCAN-BUILD-일반 빌드를 통해 Clang에 내장 된 Clang 정적 분석기를 구동하려면 Frontend.

• Splint-주석 보조 정적 프로그램 검사기.

• ? SVF - C 및 C ++ 프로그램에 대한 확장 가능하고 정밀한 간호 적 의존성 분석을 가능하게하는 정적 도구.

• ? TrustInsoft Analyzer © ️ - 코딩 오류 및 관련 보안 취약점의 철저한 감지. 여기에는 사운드 정의되지 않은 동작 감지 (버퍼 오버 플로우, 바운드 외 배열 액세스, 널 포인터 탈 등급, 사용되지 않음, 비체 별, 무시되지 않은 메모리 액세스, 서명 된 오버플로, 데이터 흐름 등), 데이터 흐름 및 제어 흐름 검증 및 공식 사양의 완전한 기능 검증이 포함됩니다. 모든 버전의 C는 최대 C18 및 C ++ 최대 C ++ 20의 모든 버전이 지원됩니다. Trustinsoft Analyzer는 20123 년 2 분기 (TCL3)에서 ISO 26262 자격을 취득합니다. Misra C 체커도 번들로 제공됩니다.

• ? 베라 ++ 켈 - Vera ++는 C ++ 소스 코드의 검증, 분석 및 변환을위한 프로그래밍 가능한 도구입니다.

• 1726 293? Clj-Kondo)-기쁨을 불러 일으키는 Clojure 코드를위한 라이터. 입력하는 동안 잠재적 오류에 대해 알려줍니다.

• ? Coffeelint 켈 - 커피 스크립트 코드를 깨끗하고 일관성있게 유지하는 데 도움이되는 스타일 체커.

• ? FixInator © ️ - ColdFusion 또는 CFML 코드에 대한 정적 보안 코드 분석. CI 파이프 라인 내에서 또는 개발자 터미널에서 작동하도록 설계되었습니다.

• ? AMEBA - 결정을위한 정적 코드 분석 도구.

• ? Crystal-Crystal Compiler에는 내장 된 라인 기능이 있습니다.

• ? 다트 코드 메트릭 켈 - 다트를위한 추가 라이터. 코드 메트릭을보고하고 패턴 방지 점검 및 DART 분석기에 대한 추가 규칙을 제공합니다.

• ? Effective_DART - 효과적인 다트의 지침에 해당하는 Linter 규칙

• 277 82? 보풀) 켈 -다트 및 플러터 프로젝트에 대한 의견이 많고 커뮤니티 중심의 보풀 규칙 세트. 성가 시지만 더 엄격합니다

• ? 다트를위한 린터 - 다트를위한 스타일 린터.

• 100 16? Delphilint)-Sonardelphi가 구동하는 비행 금액 코드 분석 및 Linting을 제공하는 Delphi Ide 패키지.

• ? Insight를 수정하십시오. © ️ - 정적 코드 분석을위한 무료 IDE 플러그인. 프로 에디션에는 자동화 목적을위한 명령 줄 도구가 포함되어 있습니다.

• ? PASCAL 분석기 © ️ - 수많은 보고서가있는 정적 코드 분석 도구. 제한된보고로 무료 라이트 버전을 사용할 수 있습니다.

• ? Pascal Expert © ️ - 코드 분석을위한 IDE 플러그인. Pascal Analyzer보고 기능의 하위 집합이 포함되어 있으며 2007 년 이후 Delphi 버전에서 사용할 수 있습니다.

• 110 19? Sonardelphi) - Sonarqube 코드 품질 플랫폼 용 Delphi STATIC 분석기.

• 241 80? D-Scanner)-D-Scanner는 D 소스 코드를 분석하는 도구입니다.

• 4951 420? Credo) - 코드 일관성 및 교육에 중점을 둔 정적 코드 분석 도구.

• 1720 142? Diallyxir) - 엘릭시르 프로젝트에서 투석기 사용을 단순화하기 위해 작업을 혼합합니다.

• 1693 96? Sobelow)-피닉스 프레임 워크에 대한 보안 중심 정적 분석.

• ? Elm-Analyse 켈 - ELM 코드를 분석하고 결함을 식별하며 모범 사례를 적용 할 수있는 도구입니다.

• ? ELM-Review-ELM에 서면으로 작성된 공유 가능 및 사용자 정의 규칙에 중점을 둔 전체 ELM 프로젝트를 분석합니다. Elm 컴파일러가 제공하지 않습니다.

• ? 투석기 - Erlang 프로그램을위한 불일치 분석기 인 Dialyzer. Dialyzer는 단일 Erlang 모듈 또는 전체 (세트) 응용 프로그램에서 명확한 유형 오류, 프로그래밍 오류로 인해 죽거나 도달 할 수없는 코드와 같은 소프트웨어 불일치를 식별하는 정적 분석 도구입니다. Dialyzer는 디버그 컴파일 된 빔 바이트 코드 또는 Erlang 소스 코드에서 분석을 시작합니다. 불일치의 파일과 줄 번호는 불일치가 무엇인지에 대한 표시와 함께보고됩니다. Dialyzer는 성공 유형의 개념을 바탕으로 음성 경고를 허용합니다 (오 탐지 없음).

• 425 87? Elvis) - Erlang 스타일 리뷰어.

• 103 11? 원시 Erlang 보안 도구 (해충)) 켈 - Erlang 소스 코드의 기본 스캔을 수행하고 Erlang 소스 코드가 불안할 수있는 기능 호출을보고하는 도구.

• ? Fantomas - F# 소스 코드 포맷터.

• ? FSHARPLINT - F#을위한 보풀 도구.

• ? 이오 나이드-분석기-fsharp.analyzers.sdk로 제작 된 F# 분석기 모음.

• ? fprettify-Python으로 작성된 Modern Fortran 소스 코드를위한 자동 포름. Fprettify는 개정 내역을 보존하고 편집기 통합을 위해 테스트하는 동안 문자 케이스를 변경하고 전처리 서기 지시문을 처리하는 기능을 포함하여 코드에서 일관된 공백, 압입 및 구분 기준 정렬을 제공하는 도구입니다.

• 62 17? Fortran의 I-Code CNE)-Fortran 77, Fortran 90 및 Shell의 오픈 소스 정적 코드 분석 도구.

• ? ALIGNCHECK - 비효율적으로 포장 된 구조를 찾으십시오.

• 314 33? BodyClose) - HTTP 응답 본문이 닫혀 있는지 확인합니다.

• 50 15? 데드 코드) - 사용되지 않은 코드를 찾습니다.

• 316 28? 딩고 사냥꾼) 켈 - 이동 중에 교착 상태를 찾기위한 정적 분석기.

• 73 2? Dogsled) - 빈 식별자가 너무 많은 과제/선언을 찾습니다.

• 346 25? dupl) 켈 - 잠재적으로 복제 된 코드를보고합니다.

• 2365 138? errcheck) - 오류 반환 값이 사용되는지 확인하십시오.

• 372 16? errrwrap) - 새로운 %w 동사 지시문으로 랩 및 수정 GO 오류. 이 도구는 fmt.errorf () 호출 및 보고서를 분석합니다. 또한 새로운 %W 랩 동사 지시문을 사용하기 위해 호출을 다시 작성할 수 있습니다.

• 51 4? FLEN) - GO 패키지에서 기능 길이에 대한 정보를 얻습니다.

• 3507 267? go meta linter) 켈 - 동시에 Go Lint 도구를 실행하고 출력을 정규화하십시오. 새로운 프로젝트에는 golangci-lint 사용하십시오.

• ? Go Tool Vet -Shadow -의도하지 않은 그림자가 될 수있는 변수를보고합니다.

• ? GO VET - GO 소스 코드를 검사하고 의심스러운보고를보고합니다.

• 339 16? Go-ensistent)-GO 프로그램을보다 일관성있게 만들 수있는 분석기.

• 1873 117? go-critic)-현재 다른 라이터에서 구현되지 않은 검사를 유지하는 소스 코드 라이터.

• ? GO/AST - 패키지 AST는 GO 패키지의 구문 트리를 나타내는 데 사용되는 유형을 선언합니다.

• 61 2? goast) 켈 - Rego와 함께 GO AST (Abstract Syntax Tree) 기반 정적 분석 도구.

• 105 12? gochecknoglobals) 켈 - 글로벌이 없는지 확인합니다.

• 296 17? Goconst) - 상수로 대체 될 수있는 반복 된 줄을 찾습니다.

• 1388 83? Gocyclo) 켈 - GO 소스 코드에서 함수의 사이클로틱 복잡성을 계산합니다.

• ? GOFMT -S -코드가 올바르게 형식화되어 있고 더 간단 할 수 없는지 확인합니다.

• 3390 113? Gofumpt)-거꾸로 호환되는 동안 gofmt 보다 더 엄격한 형식을 시행합니다. 즉, gofumpt gofmt 만족하는 형식의 하위 집합에 만족합니다. 이 도구는 GO 1.19 기준 gofmt 의 포크이며 1.18 이상이 필요합니다. GO 코드를 포맷하기 위해 드롭 인 교체로 사용할 수 있으며 Gofumpt 후 GOFMT를 실행하면 변경 사항이 없습니다. gofumpt gofmt 형식에 동의하지 않는 규칙을 추가하지 않습니다. 그래서 우리는 gofmt 와 경쟁하기보다는 확장합니다.

• ? Goimports - 누락되거나 참조되지 않은 패키지 수입을 확인합니다.

• 2181 110? Gokart) - 오 탐지 최소화에 중점을 둔 Golang 보안 분석. 입력 소스가 안전한지 여부를 결정하기 위해 변수 및 함수 인수의 원인을 추적 할 수 있습니다.

• ? GOLANGCI-LINT- Go Meta Linter 의 대안 : Golangci-Lint는 Linters Aggregator입니다.

• 3973 491? GOLINT) - GO 소스 코드에서 코딩 스타일 실수를 인쇄합니다.

• 3130 271? Goreporter) - 동시에 많은 라이터를 실행하고 출력을 보고서에 정상화합니다.

• 466 19? Goroutine-Inspect)-Golang Goroutine 덤프를 분석하는 대화식 도구.

• ? GOSEC (GAS) - GO AST를 스캔하여 보안 문제에 대한 소스 코드를 검사합니다.

• ? GOTYPE - GO 컴파일러와 유사한 구문 및 시맨틱 분석.

• ? GOVULNCHECK - GovulnCheck은 GO 코드에 영향을 미치는 알려진 취약점을보고합니다. 소스 코드 또는 이진의 심볼 테이블의 정적 분석을 사용하여 응용 프로그램에 영향을 줄 수있는 보고서 만 좁 힙니다. 기본적으로 GovulnCheck은 https://vuln.go.dev에서 Go Velnerability 데이터베이스에 요청합니다. 취약성 데이터베이스에 대한 요청에는 프로그램의 코드 또는 기타 속성이 아닌 모듈 경로 만 포함됩니다.

• 404 25? ineffassign) 켈 - GO 코드에서 비 효과적인 할당을 감지합니다.

• 689 17? 인터페이스) 켈 - 사용할 수있는 좁은 인터페이스를 제안하십시오.

• 65 9? lll) 켈 - 긴 줄을보고합니다.

• 538 42? 악성) 켈 - 필드가 정렬되면 메모리를 덜 취할 수있는 스트러크를 감지합니다.

• 1354 115? Misspell) - 일반적으로 철자가 틀린 영어 단어를 찾습니다.

• 127 15? Nakedret) - Naked Returns를 찾습니다.

• 85 5? NARGS) - 기능 선언에서 사용되지 않은 주장을 찾습니다.

• 643 24? Prealloc) - 잠재적으로 Preallocated 될 수있는 슬라이스 선언을 찾습니다.

• 8053 427? ReviewDog) - 모든 코드 호스팅 서비스에서 Linter의 검토 의견을 게시하는 도구.

• ? 재생 - 빠르고, 구성 가능하며, 확장 가능하며, 유연하며, 아름다운 라이터. 골린트의 드롭 인 교체.

• 564 47? Safesql) 켈 - SQL 주사로부터 보호하는 Golang의 정적 분석 도구.

• 369 15? 시쇼) 켈 - 개발자 및 보안 팀을 위해 설계된 가벼운 정적 코드 분석기. SED와 유사한 직관적 인 DSL로 소스 코드를 분석하고 변환 할 수 있습니다.

• ? 정적 체크 - 버그 찾기, 코드 단순화 및 성능 향상을 전문으로하는 정적 분석.

• ? StructCheck - 사용하지 않은 구조물 필드를 찾으십시오.

• 817 27? structslop) - 최대 공간/할당 효율성을 제공하기 위해 구조물 필드 재 배열을 권장하는 GO를위한 정적 분석기

• ? 테스트 - STDLIB 테스트 모듈에서 테스트 실패의 위치를 ​​보여줍니다.

• 380 26? Unconvert) - 중복 유형 변환을 감지합니다.

• 533 28? Unparam) - 사용하지 않은 기능 매개 변수를 찾으십시오.

• ? VARCHECK - 사용하지 않는 글로벌 변수와 상수를 찾으십시오.

• 267 41? WSL) - 올바른 장소에서 빈 줄을 시행합니다.

• ? Codenarc - 그루비 소스 코드를위한 정적 분석 도구로, 많은 코딩 표준 및 모범 사례를 모니터링하고 시행 할 수 있습니다.

• 690 67? 브리트니) 켈 - Haskell 소스 코드 Formatter

• 1484 197? Hlint) - Hlint는 Haskell 코드의 개선 가능성을 제안하는 도구입니다.

• ? Liquid Haskell - Liquid Haskell은 Haskell 프로그램의 세련미 유형 검사기입니다.

• ? Stan-Stan은 Haskell 프로젝트를 분석하고 발견 된 취약점을 발견하기위한 명령 줄 도구입니다. 감지 된 문제에 대한 가능한 솔루션으로 유용한 방법으로 발견 된 취약점이 있습니다.

• 170 28? Weeder) - Haskell 코드에서 죽은 수출 또는 패키지 수입을 감지하는 도구.

• ? HAXE CheckStyle - 개발자가 코딩 표준을 준수하는 Haxe 코드를 작성하는 데 도움이되는 정적 분석 도구.

• ? 체커 프레임 워크-Java 용 플러그 가능한 유형 확인. 이것은 단순한 버그 파인더가 아니라 정확성을 보장하는 검증 도구입니다. 27 개의 사전 제작 된 유형 시스템이 제공되며 사용자는 자체 유형 시스템을 정의 할 수 있습니다. 매뉴얼에는 30 개 이상의 사용자 대조 유형 시스템이 나와 있습니다.

• ? CheckStyle - 코드 표준 또는 유효성 검사 규칙 세트 (모범 사례) 준수를 위해 Java 소스 코드를 확인합니다.

• 387 154? CK)-소스 Java 파일을 처리하여 Chidamber 및 Kemerer 객체 지향 메트릭을 계산합니다.

• CKJM-컴파일 된 Java 파일의 바이트 코드를 처리하여 Chidamber 및 Kemerer 객체 지향 메트릭을 계산합니다.

• ? Cognicrypt - 암호화 API의 잘못된 사용에 대해 Java 소스 및 바이트 코드를 점검합니다.

• 1034 356? Dataflow Framework)-Java의 산업 강도 데이터 흐름 프레임 워크. DataFlow 프레임 워크는 Checker 프레임 워크, Google의 오류가 발생하기 쉬운, Uber 's Nullaway, Meta's Nullsafe 및 기타 상황에서 사용됩니다. 체커 프레임 워크와 함께 배포됩니다.

• DESIGNITEJAVA © 님 - DesigniteJava는 다양한 코드 품질 메트릭의 계산과 함께 다양한 아키텍처, 디자인 및 구현 냄새의 탐지를 지원합니다.

• ? DiffBlue © ️-DiffBlue는 소프트웨어 개발 팀을위한 AI 기반 코드 분석 및 테스트 솔루션을 제공하는 소프트웨어 회사입니다. 이 기술은 개발자가 소프트웨어 개발 프로세스에서 테스트를 자동화하고 버그를 찾고 수동 노동을 줄이는 데 도움이됩니다. 이 회사의 주요 제품인 Diffblue Cover는 AI를 사용하여 Java 코드의 단위 테스트를 생성하고 실행하여 오류를 잡고 코드 품질을 향상시키는 데 도움이됩니다.

• ? DOOP - DOOP는 포인터 분석 알고리즘을 중심으로 Java/Android 프로그램의 정적 분석을위한 선언적 프레임 워크입니다. DOOP는 다양한 분석과 주변 스캐 폴딩을 제공하여 분석 엔드 투 엔드 (사실 생성, 처리, 통계 등)를 실행합니다.

• 13 8? ENRE-JAVA)-ENRE (엔티티 관계 추출기)는 소스 코드에서 코드 엔티티 종속성 또는 관계의 추출을위한 도구입니다. Enre-Java는 @eclipse JDT/Parser를 기반으로 한 Java 프로젝트의 엔티티 관계 추출기입니다.

• ? 오류가 발생하기 쉬운-컴파일 타임 오류로 일반적인 Java 실수를 포착합니다.

• FB-Contrib-추가 버그 탐지기가있는 FindBugs 용 플러그인.

• 340 34? 금지-API)-특정 메소드/클래스/필드의 호출을 감지하고 금지합니다 (숯이없는 텍스트 스트림에서 읽는 것). Maven/Gradle/Ant 호환.

• 5674 864? Google-Java-Format)-Google Java 스타일을 준수하는 Java 소스 코드를 개혁합니다.

• 304 32? Huntbugs) 켈 - 바이트 코드 정적 분석기 도구는 FindBugs를 대체하기위한 Procyon 컴파일러 도구를 기반으로합니다.

• ? Intellij Idea © ️ - Java 및 Kotlin에 대한 많은 검사와 함께 번들로 제공되며 리팩토링, 서식 등을위한 도구가 포함되어 있습니다.

• ? JARCHITECT © 닐 - 코드를 측정, 쿼리 및 시각화하고 예기치 않은 문제, 기술 부채 및 복잡성을 피하십시오.

• ? JBMC-Java (Bytecode)의 Bounded Model-Checker는 사용자 정의 어설 션, 표준 어설 션, 여러 적용 범위 메트릭 분석을 확인합니다.

• ? Mariana Trench - 안드로이드 및 Java 응용 프로그램을위한 보안 중심 정적 분석 도구. Mariana Trench는 Dalvik Bytecode를 분석하고 대형 코드베이스 (수백만 라인의 코드)에서 빠르게 실행되도록 만들어졌습니다. 저장소에 착륙하기 전에 코드 변경으로 취약점을 찾을 수 있습니다.

• 3664 299? NULLAWAY)-빌드 타임 오버 헤드가 낮은 유형 기반 널 포인터 체커; 오류가 발생하기 쉬운 플러그인.

• ? OWASP 종속성 검사 - 알려진 공개 공개 된 취약점에 대한 종속성을 확인합니다.

• ? QULICE-몇 가지 (사전 구성된) 정적 분석 도구 (CheckStyle, PMD, FindBugs, ...)를 결합합니다.

• 460 42? RefactorFirst) - 먼저 리팩터링 해야하는 Java 코드베이스에서 신의 수업과 고도로 결합 된 수업을 식별하고 우선 순위를 정합니다.

• ? 그을음 - Java 및 Android 응용 프로그램을 분석하고 전환하기위한 프레임 워크.

• ? Spoon - Spoon은 Java 소스 코드 (Java 9, 10, 11, 12, 13, 14 포함)를 분석하고 변환하는 메타 프로 그램 라이브러리입니다. 강력한 분석 및 변환 API를 통해 잘 설계된 AST를 구축하기 위해 소스 파일을 구문 분석합니다. Maven과 Gradle에 통합 될 수 있습니다.

• ? SPOTBUGS - SpotBugs는 FindBugs의 후계자입니다. Java 코드에서 버그를 찾는 정적 분석 도구.

• ? 꾸준한 켈 -정적 분석 및 테스트를 사용하여 알려진 취약점을 사용하여 오픈 소스 종속성에 대한 Java 애플리케이션을 분석하여 코드 컨텍스트 및 사용량을 결정합니다.

• 148 39? 위반 lib) - 정적 코드 분석에서 보고서 파일을 구문 분석하기위한 Java 라이브러리. Jenkins, Maven 및 Gradle 플러그인이 많이 사용됩니다.

• 에테르 켈 - 보풀, 분석, 정규화, 변환, 샌드 박스, 실행, 단계 및 사용자 JavaScript를 노드 또는 브라우저에서 시각화합니다.

• ? 클로저 컴파일러 - 효율성을 높이고 크기를 줄이며 JavaScript 파일의 코드 경고를 제공하는 컴파일러 도구입니다.

• 111 29? Closurelinter) 켈 - 모든 프로젝트의 JavaScript 코드가 Google JavaScript 스타일 가이드의 지침을 따르도록합니다. 또한 많은 일반적인 오류를 자동으로 수정할 수 있습니다.

• 209 27? 복잡성 보고서) 켈 - JavaScript 프로젝트의 소프트웨어 복잡성 분석.

• ? DeepScan © ️ - 코딩 규칙보다는 런타임 오류 및 품질 문제를 대상으로하는 JavaScript의 분석기.

• 205 40? ES6- 플라토) 켈 - JavaScript (ES6) 소스 복잡성을 시각화합니다.

• 266 25? escomplex) 켈 -JavaScript Family Abstract 구문의 소프트웨어 복잡성 분석.

• ? 에스프리마 켈 - 다목적 분석을위한 ecmascript 구문 분석 인프라.

• ? 흐름 - JavaScript의 정적 유형 검사기.

• ? HEGEL - 유형 추론 및 강력한 유형 시스템에 대한 편향이있는 JavaScript의 정적 유형 검사기.

• ? JSHINT - JavaScript 코드의 오류 및 잠재적 문제를 감지하고 팀의 코딩 규칙을 시행합니다.

• 3619 463? JSLINT) - JavaScript 코드 품질 도구.

• ? JSPRIME 켈 - 정적 보안 분석 도구.

• ? NodeJSSCAN - Node.js 응용 프로그램을위한 정적 보안 코드 스캐너 및 NJSSCAN CLI 도구를 구축하는 libsast 및 Semgrep로 구동되는 응용 프로그램. 응용 프로그램의 보안 상태에 대한 다양한 대시 보드가 장착 된 UI가 있습니다.

• 4561 321? 플라톤) 켈 - JavaScript 소스 복잡성을 시각화합니다.

• 431 201? 중합체-애널러)-웹 구성 요소를위한 정적 분석 프레임 워크.

• ? RETIRE.JS - 알려진 취약점이있는 JavaScript 라이브러리 사용을 감지하는 스캐너.

• rslint 켈 - (WIP) JavaScript Linter는 가능한 한 빠르고 사용자 정의 가능하며 사용하기 쉬운 Rust로 작성된 Rust로 작성되었습니다.

• 표준 - JavaScript StyleGuide 문제를 확인하는 NPM 모듈.

• ? TERN-심층 교차 편집자 언어 지원을위한 JavaScript 코드 분석기.

• ? Typl 켈 - TYPL을 사용하면 완전히 표준 JS를 작성하고 도구는 강력한 추론을 통해 유형을 파악합니다.

• 7718 292? XO) - 많은 장점이 포함 된 의견이 있지만 구성 가능한 ESLINT 래퍼. 엄격하고 읽을 수있는 코드를 시행합니다.

• 27 4? 판단 척도) 켈 - JavaScript 코드 메트릭.

• 750 30? JET) - 버그 및 유형 불안정성을 감지하는 정적 유형 추론 시스템.

• 148 29? staticlint) - Julia의 정적 코드 분석

• ? Detekt - Kotlin 코드의 정적 코드 분석.

• ? DIKTAT-Kotlin의 엄격한 코딩 표준 및 코드 냄새를 감지하고 자동 고정하는 Linter.

• ? KTFMT - Kotlin 소스 코드를 Kotlin Code Conventions의 공통 커뮤니티 표준을 준수하도록 개혁하는 프로그램. KTFMT Intellij 플러그인은 플러그인 저장소에서 제공됩니다. 설치하려면 IDE 설정으로 이동하여 플러그인 카테고리를 선택하십시오. 마켓 플레이스 탭을 클릭하고 KTFMT 플러그인을 검색하고 설치 버튼을 클릭하십시오.

• ? KTLINT-Formatter가 내장 된 반 자전거의 Kotlin Linter.

• 372 57? LUACHECK) - LUA 코드의 일렬 및 정적 분석 도구.

• 85 19? Lualint)-Lualint는 LUA 소스 코드에서 글로벌 변수 사용에 대한 LUAC 기반 정적 분석을 수행합니다.

• ? 비안 분석 켈 - 정적으로 입력 한 LUA 개발을위한 IDE.

• ? MLINT © ️ - 가능한 문제가 있는지 MATLAB 코드 파일을 점검하십시오.

• ? DRNIM - DRNIM은 NIM으로 작성된 소프트웨어를 확인 / 검증 할 수 있도록 NIM Frontend와 Z3 방지 엔진을 결합합니다.

• 85 6? NIMFMT) - NIM 코드 포피터 / 라이터 / 스타일 검사기

• 224 41? SYS) - (브라우저) 코드에서 버그를 찾기위한 정적/기호 도구. LLVM AST를 사용하여 초기화되지 않은 메모리 액세스와 같은 버그를 찾습니다.

• 376 66? VERIFAST)-분리 논리로 작성된 전제 조건 및 사후 조건으로 주석이 달린 단일 스레드 및 멀티 스레드 C 및 Java 프로그램의 정확성 특성을 모듈 식으로 검증하기위한 도구. 풍부한 사양을 표현하기 위해 프로그래머는 유도 데이터 유형, 이러한 데이터 유형에 대한 원시적 재귀 순수 기능 및 추상 분리 논리를 정의 할 수 있습니다.

• ? CakeFuzzer-CakePHP 기반 웹 응용 프로그램을위한 웹 응용 프로그램 보안 테스트 도구. CakeFuzzer는 실행 전에 무작위로 수정 된 사전 정의 된 공격 세트를 사용합니다. Cake PHP 프레임 워크에 대한 깊은 이해를 활용하여 Cake Fuzzer는 모든 잠재적 인 응용 프로그램 입력 지점에 대한 공격을 시작합니다.

• 1362 56? Churn-PHP)-리팩토링을위한 좋은 후보를 발견하는 데 도움이됩니다.

• 465 10? Composer-Dependency-Analyser)-작곡가 종속성 문제의 빠른 감지.

• ? 강력한 : 사용되지 않는 그림자 및 잘못 배치 된 작곡가 종속성을 감지합니다
• performant : 2s에서 15,000 파일을 스캔합니다!
• 구성 가능 : PHP 구성을 통해 세밀한 무시합니다
• ? ️ Lightweight : 작곡가 의존성 없음
• ? 사용하기 쉬운 : 첫 번째 시도를 위해 구성이 필요하지 않습니다
• 호환 : php> = 7.2

• 530 26? Dephpend) - 종속성 분석 도구.

• 393 40? 감가 상각 검출기)-감가 상각 된 (Symfony) 코드의 사용법을 찾습니다.

• 2678 134? Deptrac) - 소프트웨어 계층 간의 종속성에 대한 규칙을 시행합니다.

• 114 14? DesignPatternDetector) - PHP 코드의 설계 패턴 감지.

• ? EasyCodingStandard - 결합 10696 1478? PHP_CODESNIFFER) 및 12941 1583? PHP-CS-Fixer).

• ? Enlightn - Laravel 앱의 성능, 보안 및 코드 안정성을 향상시키기위한 권장 사항을 제공하는 Laravel 애플리케이션을위한 정적 및 동적 분석 도구. 120 개의 자동 점검이 포함되어 있습니다.

• ? Exakat - PHP 용 자동 코드 검토 엔진.

• 4161 437? grumphp) - 모든 커밋에서 코드를 확인합니다.

• 5639 424? LARASTAN) - 개발자 생산성과 코드 품질을 향상시키는 Laravel에 정적 분석을 추가합니다. Phpstan 주변의 포장지입니다.

• ? 몬드리안 켈 - 그래프 이론을 사용하는 정적 분석 및 리팩토링 도구 세트.

• ? Nitpick CI © ️ - 자동화 된 PHP 코드 검토.

• 293 22? Parallel-Lint)-이 도구는 PHP 파일의 구문을보다 빠른 출력으로 직렬 검사보다 빠르게 확인합니다.

• 368 41? 구문 분석) - 정적 보안 스캐너.

• ? PDENCER - PHP 코드의 사이클로틱 복잡성과 같은 소프트웨어 메트릭을 계산합니다.

• ? ?? Phan) - Etsy의 현대 정적 분석기.

• 1100 45? PHP 아키텍처 테스터) - PHP 용 사용하기 쉬운 아키텍처 테스트 도구.

• 158 10? PHP 가정) - 약한 가정을 확인합니다.

• ? PHP 코딩 표준 FIXER-PSR-1, PSR-2 및 Symfony 표준과 같은 표준에 따라 코드를 수정합니다.

• ? PHP Insights - 콘솔에서 즉각적인 PHP 품질 검사. 코드 품질 및 코딩 스타일 분석 및 코드 아키텍처 및 복잡성의 개요.

• ? PHP 검사 (EA Extended) - PHP 용 정적 코드 분석기.

• ? PHP 리팩토링 브라우저 - 리팩토링 도우미.

• 430 28? PHP 시맨틱 버전화 검사기) 켈 - 시맨틱 버전에 따라 다음 버전을 제안합니다.

• 17109 1102? PHP-PARSER)-PHP로 작성된 PHP 파서.

• 68 22? PHP-Speller)-PHP 맞춤법 검사 라이브러리.

• 190 44? php-token 반사) 켈 - PHP 내부 반사를 모방하는 라이브러리.

• 1524 121? php7cc) 켈 - PHP 7 호환성 검사기.

• 797 92? php7mar) 켈 - 개발자가 코드를 PHP 7로 빠르게 포팅하는 데 도움을줍니다.

• ? php_codesniffer 켈 - 정의 된 코딩 표준 세트의 위반을 감지합니다.

• 761 41? PHPARKITECT) - PHPARKITECT를 사용하면 워크 플로에 아키텍처 제약 조건 점검을 추가하여 PHP 코드베이스를 일관되고 견고하게 유지하는 데 도움이됩니다. 간단하고 읽을 수있는 PHP 코드에서 시행하려는 제약 조건을 표현할 수 있습니다.

• 97 8? PHPCA) 켈 -구축되지 않은 확장자 사용을 찾습니다.

• 2214 191? PHPCPD) 켈 - PHP 코드의 복사/붙여 넣기 검출기.

• 415 47? phpdcd) 켈 - PHP 코드의 DCD (Dead Code Detector).

• ? phpdectionencyanalysis 켈 - 프로젝트의 종속성 그래프를 작성합니다.

• 366 38? PHPDEPRECATIONDETECTOR) - 최신 통역 버전에서 더 이상 사용되지 않은 기능으로 문제를 검색하기위한 PHP 코드 분석기. 제거 된 객체 (함수, 변수, 상수 및 ini- 지향), 감가 상한 기능 기능 및 금지 된 이름 또는 트릭 사용 (예 : 최신 버전의 예약 된 식별자)을 찾습니다.

• 226 15? phpdoc-to-typehint) 켈 - PHPDOC 주석을 사용하여 기존 PHP 프로젝트에 스칼라 유형 힌트와 반환 유형을 추가하십시오.

• ? PHPDocumentor - 문서를 생성하기 위해 PHP 소스 코드를 분석합니다.

• 2336 165? PHPLOC) - 크기를 신속하게 측정하고 PHP 프로젝트의 구조를 분석하기위한 도구.

• ? PHPMD - 코드에서 가능한 버그를 찾습니다.

• PHPMetrics - 다양한 코드 품질 메트릭을 계산하고 시각화합니다.

• 560 46? PHPMND) - 마법 숫자를 감지하는 데 도움이됩니다.

• ? PHPQA 켈 - QA 도구를 실행하는 도구 (PHPLOC, PHPCPD, PHPCS, PDENCENT, PHPMD, PHPMetrics).

• 1231 67? PHPQA -JAKZAL) - 한 컨테이너의 PHP 정적 분석을위한 많은 도구.

• 327 29? PHPQA-JMOLIVAS)-PHPQA 올인원 분석기 CLI 도구.

• 639 77? PHPSA) 켈 - PHP 용 정적 분석 도구.

• ? PHPSTAN - PHP 정적 분석 도구 - 코드를 실행하지 않고 버그를 발견하십시오!

• 333 61? progpilot) - 보안 목적을위한 정적 분석 도구.

• ? PSALM - PHP 응용 프로그램에서 유형 오류를 찾기위한 정적 분석 도구.

• 494 31? Qafoo 품질 분석기) 켈 - 메트릭 및 소스 코드를 시각화합니다.

• ? Rector - PHP 5.3+ 코드의 즉각적인 업그레이드 및 자동 리팩토링. PHP 7.4, 8.0 이상에 대한 코드를 업그레이드합니다. Rector는 좁게 정의 된 AST (Abstract Syntax Tree) 패턴을 찾기 때문에 낮은 오 탐 양성 속도를 약속합니다. 기본 유스 케이스는 레거시 코드에서 기술 부채를 해결하고 데드 코드를 제거하고 있습니다. Rector는 Symfony, Proctrine, Phpunit 등을위한 특별 규칙을 제공합니다.

• 119 51? 반사) - PHP 프로젝트에 대한 정적 분석을 수행하기위한 반사 라이브러리

• ? Symfony Insight © 님 - 보안 위험을 감지하고 버그를 찾고 PHP 프로젝트에 실행 가능한 메트릭을 제공합니다.

• 171 7? 툴리) - 정적 분석 엔진.

• 118 32? Twig-Lint)-Twig-Lint는 Twig 파일을위한 보풀 도구입니다.

• ? WAP - PHP (4.0 이상) 웹 응용 프로그램의 입력 유효성 검사 취약점을 감지하고 올바르게하는 도구와 정적 분석 및 데이터 마이닝을 결합하여 잘못된 양성을 예측합니다.

• ? ZPA - PL/SQL 및 Oracle SQL 코드 용 오픈 소스 파서 및 코드 분석기.

• ? PERL :: 분석기-Perl-Analyzer는 사용자가 네임 스페이스 및 관계, 의존성, 상속 및 상속 및 메소드에 대한 정보를 제공하여 Perl 코드베이스를 분석하고 시각화 할 수있는 일련의 프로그램 및 모듈입니다.

• ? Perl :: 비평가-최고 실습에 대한 비평 Perl 소스 코드.

• ? Perltidy - Perltidy는 Perl 스크립트로, Perl Scripts를 쉽게 읽을 수 있도록 강화하고 개혁합니다. 형식은 명령 줄 매개 변수로 제어 할 수 있습니다. 기본 매개 변수 설정은 Perl 스타일 가이드의 제안을 대략 따릅니다. 스크립트를 재구성하는 것 외에도 Perltidy는 오류가 현지화하는 데 매우 능숙하기 때문에 누락되거나 여분의 버팀대, 괄호 및 정사각형 괄호로 오류를 추적하는 데 큰 도움이 될 수 있습니다.

• 47 10? ZARN) - 최신 PERL 앱을위한 가벼운 정적 보안 분석 도구

• 909 82? Autoflake) - Autoflake는 Python 코드에서 사용되지 않은 가져 오기 및 사용되지 않는 변수를 제거합니다.

• ? AutoPep8 - Pethon 코드를 자동으로 포맷하여 PEP 8 스타일 가이드를 준수하는 도구입니다. Pycodestyle 유틸리티를 사용하여 코드의 형식이 필요한 부분을 결정합니다.

• ? 산적 - 파이썬 코드에서 일반적인 보안 문제를 찾는 도구.

• 265 14? BellyButton)-맞춤형 프로젝트 별 규칙을 지원하는 라인 엔진.

• ? 블랙 - 타협하지 않는 파이썬 코드 포맷터.

• ? 볼러 - 현대적인 파이썬에 대한 안전한 코드 리팩토링. 볼러는 구문 트리 레벨에서 파이썬을 조작하기위한 리팩토링 도구입니다. 안전하고 대규모 코드 수정을 가능하게하면서 결과 코드가 컴파일 및 실행되도록 보장합니다. 코드에서 복잡한 코드 수정을 생성하기 위해 간단한 명령 줄 인터페이스와 유창한 API를 제공합니다.

• 26 10? ciocheck) 켈 - Linter, Formatter 및 Test Suite 도우미. Linter로서 pep8 , pydocstyle , flake8 및 pylint 주변의 래퍼입니다.

• 237 4? 응집력) - 파이썬 클래스 응집력을 측정하기위한 도구.

• ? 거래 - 파이썬 계약에 의한 설계. 버그가없는 코드를 작성하십시오. 코드에 몇 개의 데코레이터를 추가하면 무료 테스트, 정적 분석, 공식 검증 등을 얻을 수 있습니다.

• 163 15? DLINT) - 파이썬 코드를 보장하기위한 도구가 안전합니다.

• 121 18? Dodgy) - Dodgy는 코드베이스에 대해 "Dodgy"보이는 값을 검색하는 매우 기본적인 도구입니다. 우발적 인 SCM Diff Checkins 또는 암호 또는 비밀 키와 같은 파일에 하드 코딩 된 것들을 감지하도록 설계된 일련의 간단한 정규 표현식입니다.

• 13 2? enre-py) 켈 - ENRE (Entity Relationship Extractor)는 소스 코드에서 코드 엔티티 종속성 또는 관계를 추출하기위한 도구입니다. ENRE-py is a ENtity Relationship Extractor for Python based on Python Language Services of The Standard Library.

• ? FIXIT-소스 코드에 대한 보풀 규칙 및 해당 자동 고정을 생성하기위한 프레임 워크.

• 3488 310? flake8) — A wrapper around pyflakes , pycodestyle and mccabe .

• ? flakeheaven — flakeheaven is a python linter built around flake8 to enable inheritable and complex toml configuration.

• ? Griffe — Signatures for entire Python programs. Extract the structure, the frame, the skeleton of your project, to generate API documentation or find breaking changes in your API.

• 80 3? InspectorTiger) ️ - Inspector Tiger는 최신 Python 코드 검토 도구 / 프레임 워크입니다. It comes with bunch of pre-defined handlers which warns you about improvements and possible bugs. 이 핸들러 외에도 자신의 처리기를 작성하거나 커뮤니티를 사용할 수 있습니다.

• ? 제다이 - 파이썬 용 자동 완성/정적 분석 라이브러리.

• 185 26? linty fresh) — Parse lint errors and report them to Github as comments on a pull request.

• ? 맥 카베 ️ — Check McCabe complexity.

• 28 6? multilint) ️ — A wrapper around flake8 , isort and modernize .

• mypy — A static type checker that aims to combine the benefits of duck typing and static typing, frequently used with 4809 176? MonkeyType).

• 1964 172? prospector) — A wrapper around pylint , pep8 , mccabe and others.

• 127 29? py-find-injection) ️ - 파이썬 코드에서 SQL 주입 취약점을 찾으십시오.

• ? Pyanalyze - 정의되지 않은 변수 및 유형 오류에 대한 참조와 같은 Python 코드의 일반적인 실수를 프로그래밍 방식으로 감지하는 도구. 추가 규칙을 추가하고 특정 기능에 특정한 검사를 수행하도록 확장 할 수 있습니다.

• ? pycodequal © ️ - pycodequal은 복잡성과 버그 위험에 대한 통찰력을 제공합니다. 풀 요청에 자동 리뷰가 추가됩니다.

• ? pycodestyle — (Formerly pep8 ) Check Python code against some of the style conventions in PEP 8.

• pydocstyle ️ — Check compliance with Python docstring conventions.

• ? pyflakes — Check Python source files for errors.

• Pylint - 프로그래밍 오류를 찾고 코딩 표준을 시행하고 일부 코드 냄새를 스니핑하는 데 도움이됩니다. It additionally includes pyreverse (an UML diagram generator) and symilar (a similarities checker).

• ? pylyzers — A static code analyzer / language server for Python, written in Rust, focused on type checking and readable output.

• ? pyre-check — A fast, scalable type checker for large Python codebases.

• 13613 1514? pyright) — Static type checker for Python, created to address gaps in existing tools like mypy.

• 212 21? pyroma) ️ — Rate how well a Python project complies with the best practices of the Python packaging ecosystem, and list issues that could be improved.

• ? PYSA-페이스 북의 파이어 체크를 기반으로 한 도구로 테인트 분석으로 식별 된 파이썬 코드의 잠재적 보안 문제를 식별합니다.

• 2181 244? PyT - Python Taint) ️ - Python Web Applications의 보안 취약점을 감지하기위한 정적 분석 도구.

• ? pytype — A static type analyzer for Python code.

• ? pyupgrade — A tool (and pre-commit hook) to automatically upgrade syntax for newer versions of the language.

• 111 23? QuantifiedCode) ️ — Automated code review & repair. 소프트웨어 프로젝트에서 문제와 메트릭을 추적하는 데 도움이되며 새로운 유형의 분석을 지원하기 위해 쉽게 확장 할 수 있습니다.

• ? radon — A Python tool that computes various metrics from the source code.

• 2492 54? refurb) — A tool for refurbishing and modernizing Python codebases. Refurb is heavily inspired by clippy, the built-in linter for Rust.

• ? ruff — Fast Python linter, written in Rust. 10-100x faster than existing linters. Compatible with Python 3.10. Supports file watcher.

• ? unimport — A linter, formatter for finding and removing unused import statements.

• 3579 156? vulture) — Find unused classes, functions and variables in Python code.

• ? wemake-python-styleguide — The strictest and most opinionated python linter ever.

• 1215 60? 꾀가 많은) ️ — A command-line tool for archiving, exploring and graphing the complexity of Python source code.

• ? xenon — Monitor code complexity using 1755 119? radon ).

• 13811 890? yapf) — A formatter for Python files created by Google YAPF follows a distinctive methodology, originating from the 'clang-format' tool created by Daniel Jasper. Essentially, the program reframes the code to the most suitable formatting that abides by the style guide, even if the original code already follows the style guide. This concept is similar to the Go programming language's 'gofmt' tool, which aims to put an end to debates about formatting by having the entire codebase of a project pass through YAPF whenever changes are made, thereby maintaining a consistent style throughout the project and eliminating the need to argue about style in every code review.

• 49 7? cyclocomp) — Quantifies the cyclomatic complexity of R functions / expressions.

• ? goodpractice — Analyses the source code for R packages and provides best-practice recommendations.

• 1206 186? lintr) — Static Code Analysis for R.

• ? styler — Formatting of R source code files and pretty-printing of R code.

• 269 37? Regal) — Regal is a linter for the policy language Rego. Regal aims to catch bugs and mistakes in policy code, while at the same time helping people learn the language, best practices and idiomatic constructs.

• ? brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.

• 2690 229? bundler-audit) — Audit Gemfile.lock for gems with security vulnerabilities reported in 1025 221? Ruby Advisory Database).

• 1314 75? 지팡이) ️ — Code quality threshold checking as part of your build.

• 407 33? Churn) — A Project to give the churn file, class, and method for a project for a given checkin. Over time the tool adds up the history of churns to give the number of times a file, class, or method is changing during the life of a project.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications. Sinatra, Padrino 및 Ruby on Rails 프레임 워크를 지원합니다.

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 1810 75? Fasterer) — Common Ruby idioms checker.

• ? flay — Flay analyzes code for structural similarities.

• ? 팔다 ️ — Flog reports the most tortured code in an easy to read pain report. The higher the score, the more pain the code is in.

• 31 7? Fukuzatsu) — A tool for measuring code complexity in Ruby class files. Its analysis generates scores based on cyclomatic complexity algorithms with no added "opinions".

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 386 17? 원자 램프) ️ — Static analysis and style linter for Ruby code.

• 626 96? MetricFu) ️ — MetricFu is a set of tools to provide reports that show which parts of your code might need extra work.

• 439 17? pelusa) — Static analysis Lint-type tool to improve your OO Ruby code.

• 155 18? 품질) ️ — Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.

• 250 20? Querly) ️ — Pattern Based Checking Tool for Ruby.

• ? Railroader ️ — An open source static analysis security vulnerability scanner for Ruby on Rails applications.

• ? rails_best_practices ️ — A code metric tool for Rails projects

• 4052 280? reek) — Code smell detector for Ruby.

• 277 37? Roodi) ️ — Roodi stands for Ruby Object Oriented Design Inferometer. It parses your Ruby code and warns you about design issues you have based on the checks that it has configured.

• ? RuboCop — A Ruby static code analyzer, based on the community Ruby style guide.

• 641 29? Rubrowser) — Ruby classes interactive dependency graph generator.

• ruby-lint ️ — Static code analysis for Ruby.

• 3368 225? rubycritic) — A Ruby code quality reporter.

• 901 56? rufo) — An opinionated ruby formatter, intended to be used via the command line as a text-editor plugin, to autoformat files on save or on demand.

• ? Saikuro ️ — A Ruby cyclomatic complexity analyzer.

• ? SandiMeter ️ — Static analysis tool for checking Ruby code for Sandi Metz' rules.

• ? Sorbet — A fast, powerful type checker designed for Ruby.

• 2749 213? Standard Ruby) — Ruby Style Guide, with linter & automatic code fixer

• 1378 90? Steep) — Gradual Typing for Ruby.

• ? C2Rust — C2Rust helps you migrate C99-compliant code to Rust. The translator (or transpiler) produces unsafe Rust code that closely mirrors the input C code.

• 1784 46? cargo udeps) — Find unused dependencies in Cargo.toml. It either prints out a "unused crates" line listing the crates, or it prints out a line saying that no crates were unused.

• ? cargo-audit — Audit Cargo.lock for crates with security vulnerabilities reported to the ? ?? RustSec Advisory Database).

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.

• 112 7? cargo-breaking) — cargo-breaking compares a crate's public API between two different branches, shows what changed, and suggests the next version according to semver.

• 586 52? cargo-call-stack) — Whole program static stack analysis The tool produces the full call graph of a program as a dot file.

• ? cargo-deny — A cargo plugin for linting your dependencies. It can be used either as a command line too, a Rust crate, or a Github action for CI. It checks for valid license information, duplicate crates, security vulnerabilities, and more.

• 2723 67? cargo-expand) — Cargo subcommand to show result of macro expansion and #[derive] expansion applied to the current crate. This is a wrapper around a more verbose compiler command.

• 1417 67? cargo-geiger) — A cargo plugin for analysing the usage of unsafe Rust code Provides statistical output to aid security auditing

• 380 13? cargo-inspect) ️ — Inspect Rust code without syntactic sugar to see what the compiler does behind the curtains.

• ? cargo-semver-checks — Scan your Rust crate releases for semver violations. It can be used either directly via the CLI, as a GitHub Action in CI, or via release managers like release-plz . It found semver violations in ? more than 1 in 6 of the top 1000 most-downloaded crates on crates.io.

• 728 37? cargo-show-asm) — cargo subcommand showing the assembly, LLVM-IR and MIR generated for Rust code

• 332 35? cargo-spellcheck) — Checks all your documentation for spelling and grammar mistakes with hunspell (ready) and languagetool (preview)

• 252 9? cargo-unused-features) ️ — Find potential unused enabled feature flags and prune them. You can generate a simple HTML report from the json to make it easier to inspect results. It removes a feature of a dependency and then compiles the project to see if it still compiles. If it does, the feature flag can possibly be removed, but it can be a false-positive.

• ? clippy — A code linter to catch common mistakes and improve your Rust code.

• ? diff.rs — Web application (WASM) to render a diff between Rust crate versions.

• ? dylint — A tool for running Rust lints from dynamic libraries. Dylint makes it easy for developers to maintain their own personal lint collections.

• ? electrolysis ️ — A tool for formally verifying Rust programs by transpiling them into definitions in the Lean theorem prover.

• 174 5? herbie) ️ — Adds warnings or errors to your crate when using a numerically unstable floating point expression.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• 40 22? linter-rust) ️ — Linting your Rust-files in Atom, using rustc and cargo.

• 486 29? lockbud) — Statically detects Rust deadlocks bugs. It currently detects two common kinds of deadlock bugs: doublelock and locks in conflicting order. It will print bugs in JSON format together with the source code location and an explanation of each bug.

• 1002 86? MIRAI) — And abstract interpreter operating on Rust's mid-level intermediate language, and providing warnings based on taint analysis.

• 132 4? prae) ️ — Provides a convenient macro that allows you to generate type wrappers that promise to always uphold arbitrary invariants that you specified.

• ? Prusti — A static verifier for Rust, based on the Viper verification infrastructure. By default Prusti verifies absence of panics by proving that statements such as unreachable!() and panic!() are unreachable.

• 1323 45? Rudra) — Rust Memory Safety & Undefined Behavior Detection. It is capable of analyzing single Rust packages as well as all the packages on crates.io.

• 3510 256? Rust Language Server) ️ — Supports functionality such as 'goto definition', symbol search, reformatting, and code completion, and enables renaming and refactorings.

• ? rust-analyzer — Supports functionality such as 'goto definition', type inference, symbol search, reformatting, and code completion, and enables renaming and refactorings.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities. This works by embedding data about the dependency tree (Cargo.lock) in JSON format into a dedicated linker section of the compiled executable.

• 853 62? rustfix) — Read and apply the suggestions made by rustc (and third-party lints, like those offered by clippy).

• 6104 898? rustfmt) — A tool for formatting Rust code according to style guidelines.

• 2729 72? RustViz) — RustViz is a tool that generates visualizations from simple Rust programs to assist users in better understanding the Rust Lifetime and Borrowing mechanism. It generates SVG files with graphical indicators that integrate with mdbook to render visualizations of data-flow in Rust programs.

• 94 4? warnalyzer) — Show unused code from multi-crate Rust projects

• 173 2? dbcritic) — dbcritic finds problems in a database schema, such as a missing primary key constraint in a table.

• ? holistic — More than 1,300 rules to analyze SQL queries. Takes an SQL schema definition and the query source code to generate improvement recommendations. Detects code smells, unused indexes, unused tables, views, materialized views, and more.

• 81 8? pgspot) — Spot vulnerabilities in postgres extension scripts. Finds unsafe search_path usage and unsafe object creation in PostgreSQL extension scripts or any other PostgreSQL SQL code.

• 181 14? sleek) — Sleek is a CLI tool for formatting SQL. It helps you maintain a consistent style across your SQL code, enhancing readability and productivity. The heavy lifting is done by the sqlformat crate.

• 2437 120? sqlcheck) — Automatically identify anti-patterns in SQL queries.

• ? SQLFluff — Multiple dialect SQL linter and formatter.

• 420 27? sqlint) — Simple SQL linter.

• ? squawk — Linter for PostgreSQL, focused on migrations. Prevents unexpected downtime caused by database migrations and encourages best practices around Postgres schemas and SQL.

• 214 74? tsqllint) — T-SQL-specific linter.

• 29 8? TSqlRules) ️ — TSQL Static Code Analysis Rules for SQL Server.

• ? Visual Expert ©️ — Code analysis for PowerBuilder, Oracle, and SQL Server Explores, analyzes, and documents Code

• 268 34? linter) ️ — Linter is a Scala static analysis compiler plugin which adds compile-time checks for various possible bugs, inefficiencies, and style problems.

• Scalastyle — Scalastyle examines your Scala code and indicates potential problems with it.

• 534 92? scapegoat) — Scala compiler plugin for static code analysis.

• ? WartRemover — A flexible Scala code linting tool.

• 348 22? bashate) — Code style enforcement for bash programs. The output format aims to follow pycodestyle (pep8) default output format.

• 62 17? i-Code CNES for Shell) — An open source static code analysis tool for Shell and Fortran (77 and 90).

• 17 0? kmdr) — CLI tool for learning commands from your terminal. kmdr delivers a break down of commands with every attribute explained.

• ? sh — A shell parser, formatter, and interpreter with bash support; includes shfmt

• ? shellcheck — ShellCheck, a static analysis tool that gives warnings and suggestions for bash/sh shell scripts.

• 4640 130? shellharden) — A syntax highlighter and a tool to semi-automate the rewriting of scripts to ShellCheck conformance, mainly focused on quoting.

• 8001 638? SwiftFormat) — A library and command-line formatting tool for reformatting Swift code.

• ? SwiftLint — A tool to enforce Swift style and conventions.

• ? 재단사 ️ — A static analysis and lint tool for source code written in Apple's Swift programming language.

• Frink — A Tcl formatting and static check program (can prettify the program, minimise, obfuscate or just sanity check it).

• ? Nagelfar — A static syntax checker for Tcl.

• 69 36? tclchecker) — A static syntax analysis module (as part of 69 36? TDK)).

• 1666 230? Angular ESLint) — Linter for Angular projects

• Codelyzer ️ — A set of tslint rules for static code analysis of Angular 2 TypeScript projects.

• 9 5? ENRE-ts) — ENRE (ENtity Relationship Extractor) is a tool for extraction of code entity dependencies or relationships from source code. ENRE-ts is a ENtity Relationship Extractor for ECMAScript and TypeScript based on @babel/parser.

• ? fta — Rust-based static analysis for TypeScript projects

• ? stc ️ — Speedy TypeScript type checker written in Rust

• ? tslint ️ — TSLint has been deprecated as of 2019. Please see ? ?? this issue) for more details. typescript-eslint is now your best option for linting TypeScript. TSLint is an extensible static analysis tool that checks TypeScript code for readability, maintainability, and functionality errors. It is widely supported across modern editors & build systems and can be customized with your own lint rules, configurations, and formatters.

• ? tslint-clean-code — A set of TSLint rules inspired by the Clean Code handbook.

• 701 198? tslint-microsoft-contrib) ️ — A set of tslint rules for static code analysis of TypeScript projects maintained by Microsoft.

• 240 20? TypeScript Call Graph) — CLI to generate an interactive graph of functions and calls from your TypeScript files

• 15391 2750? TypeScript ESLint) — TypeScript language extension for eslint.

• ? zod — TypeScript-first schema validation with static type inference. The goal is to eliminate duplicative type declarations. With Zod, you declare a validator once and Zod will automatically infer the static TypeScript type. It is easy to compose simpler types into complex data structures.

• 2894 534? Icarus Verilog) — A Verilog simulation and synthesis tool that operates by compiling source code written in IEEE-1364 Verilog into some target format

• 478 31? svls) — A Language Server Protocol implementation for Verilog and SystemVerilog, including lint capabilities.

• 29 13? verible-linter-action) — Automatic SystemVerilog linting in github actions with the help of Verible Used to lint Verilog and SystemVerilog source files and comment erroneous lines of code in Pull Requests automatically.

• ? Verilator — A tool which converts Verilog to a cycle-accurate behavioral model in C++ or SystemC. Performs lint code-quality checks.

• 302 79? vscode-verilog-hdl-support) — Verilog HDL/SystemVerilog/Bluespec SystemVerilog support for VS Code. Provides syntax highlighting and Linting support from Icarus Verilog, Vivado Logical Simulation, Modelsim and Verilator

• 704 33? vint) ️ — Fast and Highly Extensible Vim script Language Lint implemented by Python.

• 13612 1441? ale) — Asynchronous Lint Engine for Vim and NeoVim with support for many languages.

• ? Android Studio — Based on IntelliJ IDEA, and comes bundled with tools for Android including Android Lint.

• ? AppChecker ©️ — Static analysis for C/C++/C#, PHP and Java.

• ? Application Inspector ©️ — Commercial Static Code Analysis which generates exploits to verify vulnerabilities.

• 4263 357? ApplicationInspector) — Creates reports of over 400 rule patterns for feature detection (eg the use of cryptography or version control in apps).

• ? ArchUnit — Unit test your Java or Kotlin architecture.

• ? Atom-Beautify ️ — Beautify HTML, CSS, JavaScript, PHP, Python, Ruby, Java, C, C++, C#, Objective-C, CoffeeScript, TypeScript, Coldfusion, SQL, and more in Atom editor.

• ? autocorrect — A linter and formatter to help you to improve copywriting, correct spaces, words, punctuations between CJK (Chinese, Japanese, Korean).

• ? Axivion Bauhaus Suite ©️ — Tracks down error-prone code locations, style violations, cloned or dead code, cyclic dependencies and more for C/C++, C#/.NET, Java and Ada 83/Ada 95.

• 2120 113? Bearer) — Open-Source static code analysis tool to discover, filter and prioritize security risks and vulnerabilities leading to sensitive data exposures (PII, PHI, PD). Highly configurable and easily extensible, built for security and engineering teams.

• ? Better Code Hub ©️ — Better Code Hub checks your GitHub codebase against 10 engineering guidelines devised by the authority in software quality, Software Improvement Group.

• 832 96? Betterscan CE) — Checks your code and infra (various Git repositories supported, cloud stacks, CLI, Web Interface platform, integrationss available) for security and quality issues. Code Scanning/SAST/Linting using many tools/Scanners deduplicated with One Report (AI optional).

• ? biome — A toolchain for web projects, aimed to provide functionalities to maintain them. Biome formats and lints code in a fraction of a second. It is the successor to Rome. It is designed to eventually replace Biome is designed to eventually replace Babel, ESLint, webpack, Prettier, Jest, and others.

• ? BugProve ©️ — BugProve is a firmware analysis platform featuring both static and dynamic analysis techniques to discover memory corruptions, command injections and other classes or common weaknesses in binary code. It also detects vulnerable dependencies, weak cryptographic parameters, misconfigurations, and more.

• 254 28? callGraph) — Statically generates a call graph image and displays it on screen.

• ? CAST Highlight ©️ — Commercial Static Code Analysis which runs locally, but uploads the results to its cloud for presentation.

• ? Checkmarx CxSAST ©️ — Commercial Static Code Analysis which doesn't require pre-compilation.

• 2783 290? ClassGraph) — A classpath and module path scanner for querying or visualizing class metadata or class relatedness.

• ? Clayton ©️ — AI-powered code reviews for Salesforce. Secure your developments, enforce best practice and control your technical debt in real-time.

• ? coala ️ — Language independent framework for creating code analysis - supports ? over 60 languages by default.

• ? Cobra ©️ — Structural source code analyzer by NASA's Jet Propulsion Laboratory.

• ? Codacy ©️ — Code Analysis to ship Better Code, Faster.

• ? Code Intelligence ©️ — CI/CD-agnostic DevSecOps platform which combines industry-leading fuzzing engines for finding bugs and visualizing code coverage

• ? Codeac ©️ — Automated code review tool integrates with GitHub, Bitbucket and GitLab (even self-hosted). Available for JavaScript, TypeScript, Python, Ruby, Go, PHP, Java, Docker, and more. (open-source free)

• ? codeburner — Provides a unified interface to sort and act on the issues it finds.

• ? codechecker — A defect database and viewer extension for the Clang Static Analyzer with web GUI.

• ? CodeFactor ©️ — Automated Code Analysis for repos on GitHub or BitBucket.

• ? CodeFlow ©️ — Automated code analysis tool to deal with technical depth. Integrates with Bitbucket and Gitlab. (free for Open Source Projects)

• ? CodeIt.Right ©️ — CodeIt.Right™ provides a fast, automated way to ensure that your source code adheres to (your) predefined design and style guidelines as well as best coding practices.

• ? Codemodder — Codemodder is a pluggable framework for building expressive codemods. Use Codemodder when you need more than a linter or code formatting tool. Use it to fix non-trivial security issues and other code quality problems.

• ? CodePatrol ©️ — Automated SAST code reviews driven by security, supports 15+ languages and includes security training.

• 7855 1576? codeql) — Deep code analysis - semantic queries and dataflow for several languages with VSCode plugin support.

• ? CodeQue — Ecosystem for structural matching JavaScript and TypeScript code. Offers search tool that understands code structure. Available as CLI tool and Visual Studio Code extension. It helps to search code faster and more accurately making you workflow more effective. Soon it will offer ESLint plugin to create your own rules in minutes to help with assuring codebase quality.

• ? CodeRush ©️ — Code creation, debugging, navigation, refactoring, analysis and visualization tools that use the Roslyn engine in Visual Studio 2015 and up.

• ? CodeScan ©️ — Code Quality and Security for Salesforce Developers. Made exclusively for the Salesforce platform, CodeScan's code analysis solutions provide you with total visibility into your code health.

• ? CodeScene ©️ — CodeScene is a quality visualization tool for software. Prioritize technical debt, detect delivery risks, and measure organizational aspects. Fully automated.

• ? CodeSee ©️ — CodeSee is mapping and automating your app's services, directories, file dependencies, and code changes. It's like Google Map, but for code.t

• ? CodeSonar from GrammaTech ©️ — Advanced, whole program, deep path, static analysis of C, C++, Java and C# with easy-to-understand explanations and code and path visualization.

• ? Codety ©️ — Codety Scanner is a comprehensive source code scanner that embeds 5000+ static code analysis rules, which aim to detect code issues for 20+ programming languages and IaC tools.

• ? Codiga ©️ — Automated Code Reviews and Technical Debt management platform that supports 12+ languages.

• 2164 116? 좀먹다) ️ — Semi-automatic translation from C to Rust. Could reveal bugs in the original implementation by showing Rust compiler warnings and errors. Superseded by C2Rust.

• ? Coverity ©️ — Synopsys Coverity supports 20 languages and over 70 frameworks including Ruby on rails, Scala, PHP, Python, JavaScript, TypeScript, Java, Fortran, C, C++, C#, VB.NET.

• ? cpp-linter-action — A Github Action for linting C/C++ code integrating clang-tidy and clang-format to collect feedback provided in the form of thread comments and/or annotations.

• 323 17? cqc) ️ — Check your code quality for js, jsx, vue, css, less, scss, sass and styl files.

• ? DeepCode ️ ©️ — DeepCode was acquired by Snyk is now Snyk Code.

• ? DeepSource ©️ — In-depth static analysis to find issues in verticals of bug risks, security, anti-patterns, performance, documentation and style. Native integrations with GitHub, GitLab and Bitbucket. Less than 5% false positives.

• 201 55? Depends) — Analyses the comprehensive dependencies of code elements for Java, C/C++, Ruby.

• ? DerScanner ©️ — Multi-language Static Application Security Testing (SAST) platform that detects critical vulnerabilities, including hardcoded secrets, weak cryptography, backdoors, SQL injections, insecure configurations, etc.

• 921 114? DevSkim) — Regex-based static analysis tool for Visual Studio, VS Code, and Sublime Text - C/C++, C#, PHP, ASP, Python, Ruby, Java, and others.

• 1936 172? dotenet-format) — A code formatter for .NET. Preferences will be read from an .editorconfig file, if present, otherwise a default set of preferences will be used. At this time dotnet-format is able to format C# and Visual Basic projects with a subset of supported .editorconfig options.

• ? Embold ©️ — Intelligent software analytics platform that identifies design issues, code issues, duplication and metrics. Supports Java, C, C++, C#, JavaScript, TypeScript, Python, Go, Kotlin and more.

• 846 48? emerge) — Emerge is a source code and dependency visualizer that can be used to gather insights about source code structure, metrics, dependencies and complexity of software projects. After scanning the source code of a project it provides you an interactive web interface to explore and analyze your project by using graph structures.

• 25359 4594? ESLint) — An extensible linter for JS, following the ECMAScript standard.

• ? ezno — A JavaScript compiler and TypeScript checker written in Rust with a focus on static analysis and runtime performance. Ezno's type checker is built from scratch. The checker is fully compatible with TypeScript type annotations and can work without any type annotations at all.

• ? Find Security Bugs — The SpotBugs plugin for security audits of Java web applications and Android applications. (Also work with Kotlin, Groovy and Scala projects)

• ? Fortify ©️ — A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python (2.6, 2.7), Ruby (1.9.3), Swift, Scala, VB, and XML.

• ? Freeplane Code Explorer — The Code Explorer mode in Freeplane is designed for analyzing the structure and dependencies of code compiled to JVM class files. It also allows displaying ArchUnit test results directly in Freeplane, if Freeplane is running and ArchUnit detects rule violations during the tests.

• ? Goodcheck — Regexp based customizable linter.

• 52 3? goone) ️ — Finds N+1 queries (SQL calls in a for loop) in go code

• graudit — Grep rough audit - source code auditing tool.

• ? HCL AppScan Source ©️ — Commercial Static Code Analysis.

• 57 11? 홉 따는 기계) ️ — A static analysis tool written in scala for languages that run on JVM.

• ? Hound CI ️ — Comments on style violations in GitHub pull requests. Supports Coffeescript, Go, HAML, JavaScript, Ruby, SCSS and Swift.

• 223 42? imhotep) ️ — Comment on commits coming into your repository and check for syntactic errors and general lint warnings.

• 77 28? include-gardener) ️ — A multi-language static analyzer for C/C++/Obj-C/Python/Ruby to create a graph (in dot or graphml format) which shows all #include relations of a given set of files.

• ? Infer — A static analyzer for Java, C and Objective-C

• ? Kiuwan ©️ — Identify and remediate cyber threats in a blazingly fast, collaborative environment, with seamless integration in your SDLC. Python, CC++, Java, C#, PHP and more.

• ? Klocwork ©️ — Quality and Security Static analysis for C/C++, Java and C#.

• ? LGTM ©️ — Find security vulnerabilities, variants, and critical code quality issues using CodeQL queries over source code. Automatic PR code review; free for open source. Formerly semmle. It supports public Git repositories hosted on Bitbucket Cloud, GitHub.com, GitLab.com.

• 1878 252? lizard) — Lizard is an extensible Cyclomatic Complexity Analyzer for many programming languages including C/C++ (doesn't require all the header files or Java imports). It also does copy-paste detection (code clone detection/code duplicate detection) and many other forms of static code analysis. Counts lines of code without comments, CCN (cyclomatic complexity number), token count of functions, parameter count of functions.

• ? Mega-Linter — Mega-Linter can handle any type of project thanks to its 70+ embedded Linters, its advanced reporting, runnable on any CI system or locally, with assisted installation and configuration, able to apply formatting and fixes

• ? Mobb ©️ — Mobb is a trusted, automatic vulnerability fixer that secures applications, reduces security backlogs, and frees developers to focus on innovation. Mobb is free for open-source projects.

• ? MOPSA — A static analyzer designed to easily reuse abstract domains across widely different languages (such as C and Python).

• oclint — A static source code analysis tool to improve quality and reduce defects for C, C++ and Objective-C.

• ? Offensive 360 ©️ — Commercial Static Code Analysis system doesn't require building the source code or pre-compilation.

• ? OpenRewrite — OpenRewrite ? fixes common static analysis issues reported through Sonar and other tools using a Maven and Gradle plugin or the Moderne CLI.

• 44 16? OpenStaticAnalyzer) — OpenStaticAnalyzer is a source code analyzer tool, which can perform deep static analysis of the source code of complex systems.

• 12888 472? oxc) — The Oxidation Compiler is creating a suite of high-performance tools for the JavaScript / TypeScript language re-written in Rust.

• ? parasoft ©️ — Automated Software Testing Solutions for unit-, API-, and web UI testing. Complies with MISRA, OWASP, and others.

• ? ?? pfff) ️ — Facebook's tools for code analysis, visualizations, or style-preserving source transformation for many languages.

• ? Pixee ©️ — Pixeebot finds security and code quality issues in your code and creates merge-ready pull requests with recommended fixes.

• ? PMD — A source code analyzer for Java, Salesforce Apex, Javascript, PLSQL, XML, XSL and others.

• ? pre-commit — A framework for managing and maintaining multi-language pre-commit hooks.

• ? Precaution — Precaution is a static analysis security tool (SAST) designed to find potentially critical vulnerabilities in source code prior to production. It is available as a CLI, GitHub Action, and GitHub App.

• ? Prettier — An opinionated code formatter.

• 2628 246? Pronto) — Quick automated code review of your changes. Supports more than 40 runners for various languages, including Clang, Elixir, JavaScript, PHP, Ruby and more.

• 60 12? PT.PM) ️ — An engine for searching patterns in the source code, based on Unified AST or UST. At present time C#, Java, PHP, PL/SQL, T-SQL, and JavaScript are supported. Patterns can be described within the code or using a DSL.

• 715 40? Putout) — Pluggable and configurable code transformer with built-in eslint, babel plugins support for js, jsx typescript, flow, markdown, yaml and json.

• ? PVS-Studio ©️ — A ? conditionally free for FOSS and individual developers) static analysis of C, C++, C# and Java code. For advertising purposes 29 41? you can propose a large FOSS project for analysis by PVS employees). Supports CWE mapping, OWASP ASVS, MISRA, AUTOSAR and SEI CERT coding standards.

• ? pylama — Code audit tool for Python and JavaScript. Wraps pycodestyle, pydocstyle, PyFlakes, Mccabe, Pylint, and more

• ? Qwiet AI ©️ — Identify vulnerabilities that are unique to your code base before they reach production. Leverages the Code Property Graph (CPG) to run its analyses concurrently in a single graph of graphs. Automatically finds business logic flaws in dev like hardcoded secrets and logic bombs

• ? Refactoring Essentials — The free Visual Studio 2015 extension for C# and VB.NET refactorings, including code best practice analyzers.

• 59 12? relint) — A static file linter that allows you to write custom rules using regular expressions (RegEx).

• ? ReSharper ©️ — Extends Visual Studio with on-the-fly code inspections for C#, VB.NET, ASP.NET, JavaScript, TypeScript and other technologies.

• ? RIPS ©️ — A static source code analyser for vulnerabilities in PHP scripts.

• 1600 466? Roslyn Analyzers) — Roslyn-based implementation of FxCop analyzers.

• ? Roslyn Security Guard — Project that focuses on the identification of potential vulnerabilities such as SQL injection, cross-site scripting (XSS), CSRF, cryptography weaknesses, hardcoded passwords and many more.

• ? SafeQL — Validate and auto-generate TypeScript types from raw SQL queries in PostgreSQL. SafeQL is an ESLint plugin for writing SQL queries in a type-safe way.

• ? SAST Online ©️ — Check the Android Source code thoroughly to uncover and address potential security concerns and vulnerabilities. Static application security testing (Static Code Analysis) tool Online

• ? Scrutinizer ©️ — A proprietary code quality checker that can be integrated with GitHub.

• ? Security Code Scan — Security code analyzer for C# and VB.NET. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc. Integrates into Visual Studio 2015 and newer. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.

• ? Semgrep — A fast, open-source, static analysis tool for finding bugs and enforcing code standards at editor, commit, and CI time. Its rules look like the code you already write; no abstract syntax trees or regex wrestling. Supports 17+ languages.

• ? Semgrep Supply Chain ©️ — Quickly find and remediate high-priority security issues. Semgrep Supply Chain prioritizes the 2% of vulnerabilities that are reachable from your code.

• 815 113? ShiftLeft Scan) — Scan is a free open-source DevSecOps platform for detecting security issues in source code and dependencies. It supports a broad range of languages and CI/CD pipelines.

• 270 35? shipshape) ️ — Static program analysis platform that allows custom analyzers to plug in through a common interface.

• ? Sigrid ©️ — Sigrid helps you to improve your software by measuring your system's code quality, and then compares the results against a benchmark of thousands of industry systems to give you concrete advice on areas where you can improve.

• ? Similarity Tester — A tool that finds similarities between or within files to support you encountering DRY principle violations.

• ? Snyk Code ©️ — Snyk Code finds security vulnerabilities based on AI. Its speed of analysis allow us to analyse your code in real time and deliver results when you hit the save button in your IDE. Supported languages are Java, JavaScript, Python, PHP, C#, Go and TypeScript. Integrations with GitHub, BitBucket and Gitlab. It is free to try and part of the Snyk platform also covering SCA, containers and IaC.

• ? SonarQube Cloud ©️ — SonarQube Cloud enables your team to deliver clean code consistently and efficiently with a code review tool that easily integrates into the cloud DevOps platforms and extend your CI/CD workflow. SonarQube Cloud provides a free plan.

• ? SonarQube for IDE — SonarQube for IDE (formerly SonarLint) is a free IDE extension available for IntelliJ, VS Code, Visual Studio, and Eclipse, to find and fix coding issues in real-time, flagging issues as you code, just like a spell-checker. More than a linter, it also delivers rich contextual guidance to help developers understand why there is an issue, assess the risk, and educate them on how to fix it.

• ? SonarQube Server — SonarQube empowers development teams with a code quality and security solution that deeply integrates into your enterprise environment; enabling you to deploy clean code consistently and reliably. SonarQube provides a free and open source Community Build.

• ? Sonatype ©️ — Reports known vulnerabilities in common dependencies and recommends updated packages to minimize breaking changes

• ? Soto Platform ©️ — Suite of static analysis tools consisting of the three components Sotoarc (Architecture Analysis), Sotograph (Quality Analysis), and Sotoreport (Quality report). Helps find differences between architecture and implementation, interface violations (eg external access of private parts of subsystems, detection of all classes, files, packages and subsystems which are strongly coupled by cyclical relationships and more. The Sotograph product family runs on Windows and Linux.

• ? SourceMeter ©️ — Static Code Analysis for C/C++, Java, C#, Python, and RPG III and RPG IV versions (including free-form).

• 493 25? sqlvet) — Performs static analysis on raw SQL queries in your Go code base to surface potential runtime errors. It checks for SQL syntax error, identifies unsafe queries that could potentially lead to SQL injections makes sure column count matches value count in INSERT statements and validates table- and column names.

• ? StaticReviewer ©️ — Static Reviewer executes code checks according to the most relevant Secure Coding Standards, OWASP, CWE, CVE, CVSS, MISRA, CERT, for 40+ programming languages, using 1000+ built-in validation rules for Security, Deadcode & Best Practices Available a module for Software Composition Analysis (SCA) to find vulnerabilities in open source and third party libraries.

• 113 17? Super-Linter) — Combination of multiple linters to install as a GitHub Action.

• ? Svace ©️ — Static code analysis tool for Java,C,C++,C#,Go.

• ? Synopsys ©️ — A commercial static analysis platform that allows for scanning of multiple languages (C/C++, Android, C#, Java, JS, PHP, Python, Node.JS, Ruby, Fortran, and Swift).

• ? Teamscale ©️ — Static and dynamic analysis tool supporting more than 25 languages and direct IDE integration. Free hosting for Open Source projects available on request. Free academic licenses available.

• ? TencentCodeAnalysis — Tencent Cloud Code Analysis (TCA for short, code-named CodeDog inside the company early) is a comprehensive platform for code analysis and issue tracking. TCA consist of three components, server, web and client. It integrates of a number of self-developed tools, and also supports dynamic integration of code analysis tools in various programming languages.

• 4873 592? ThreatMapper) — Vulnerability Scanner and Risk Evaluation for containers, serverless and hosts at runtime. ThreatMapper generates runtime BOMs from dependencies and operating system packages, matches against multiple threat feeds, scans for unprotected secrets, and scores issues based on severity and risk-of-exploit.

• 429 42? todocheck) — Linter for integrating annotated TODOs with your issue trackers

• 24121 2379? trivy) — A Simple and Comprehensive Vulnerability Scanner for Containers and other Artifacts, Suitable for CI. Trivy detects vulnerabilities of OS packages (Alpine, RHEL, CentOS, etc.) and application dependencies (Bundler, Composer, npm, yarn, etc.). Checks containers and filesystems.

• ? trunk ©️ — Modern repositories include many technologies, each with its own set of linters. With 30+ linters and counting, Trunk makes it dead-simple to identify, install, configure, and run the right linters, static analyzers, and formatters for all your repos.

• 2015 594? TscanCode) — A fast and accurate static analysis solution for C/C++, C#, Lua codes provided by Tencent. Using GPLv3 license.

• 1633 64? Undebt) — Language-independent tool for massive, automatic, programmable refactoring based on simple pattern definitions.

• ? Understand ©️ — Code visualization tool that provides code analysis, standards testing, metrics, graphing, dependency analysis and more for Ada, VHDL, and others.

• ? Unibeautify — Universal code beautifier with a GitHub app. Supports HTML, CSS, JavaScript, TypeScript, JSX, Vue, C++, Go, Objective-C, Java, Python, PHP, GraphQL, Markdown, and more.

• ? Upsource ©️ — Code review tool with static code analysis and code-aware navigation for Java, PHP, JavaScript and Kotlin.

• ? Veracode ©️ — Find flaws in binaries and bytecode without requiring source. Support all major programming languages: Java, .NET, JavaScript, Swift, Objective-C, C, C++ and more.

• 769 225? WALA) — Static analysis capabilities for Java bytecode and related languages and for JavaScript.

• 2354 131? weggli) — A fast and robust semantic search tool for C and C++ codebases. It is designed to help security researchers identify interesting functionality in large codebases.

• ? WhiteHat Application Security Platform ©️ — WhiteHat Scout (for Developers) combined with WhiteHat Sentinel Source (for Operations) supporting WhiteHat Top 40 and OWASP Top 10.

• 281 23? Wotan) ️ — Pluggable TypeScript and JavaScript linter.

• ? XCode ©️ — XCode provides a pretty decent UI for ? Clang's static code analyzer (C/C++, Obj-C).

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• ? Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• 21 4? alquitran) — Inspects tar archives and tries to spot portability issues in regard to POSIX 2017 pax specification and common tar implementations. This project is intended to be used by maintainers of projects who want to offer portable source code archives for as many systems as possible. Checking tar archives with alquitran before publishing them should help spotting issues before they reach distributors and users.

• ? packj — Packj (pronounced package) is a command line (CLI) tool to vet open-source software packages for "risky" attributes that make them vulnerable to supply chain attacks. This is the tool behind our large-scale security analysis platform Packj.dev that continuously vets packages and provides free reports.

• 238 7? 순수한) ️ — Pure is a static analysis file format checker that checks ZIP files for dangerous compression ratios, spec deviations, malicious archive signatures, mismatching local and central directory headers, ambiguous UTF-8 filenames, directory and symlink traversals, invalid MS-DOS dates, overlapping headers, overflow, underflow, sparseness, accidental buffer bleeds etc.

• ? AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• 7659 1088? angr) — Binary code analysis tool that also supports symbolic execution.

• 508 56? binbloom) — Analyzes a raw binary firmware and determines features like endianness or the loading address. The tool is compatible with all architectures. Loading address: binbloom can parse a raw binary firmware and determine its loading address. Endianness: binbloom can use heuristics to determine the endianness of a firmware. UDS Database: binbloom can parse a raw binary firmware and check if it contains an array containing UDS command IDs.

• 785 156? BinSkim) — A binary static analysis tool that provides security and correctness results for Windows portable executables.

• ? Black Duck ©️ — Tool to analyze source code and binaries for reusable code, necessary licenses and potential security aspects.

• 4831 348? bloaty) — Ever wondered what's making your binary big? Bloaty McBloatface will show you a size profile of the binary so you can understand what's taking up space inside. Bloaty performs a deep analysis of the binary. Using custom ELF, DWARF, and Mach-O parsers, Bloaty aims to accurately attribute every byte of the binary to the symbol or compileunit that produced it. It will even disassemble the binary looking for references to anonymous data. 에프

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.

• 1164 122? cwe_checker) — cwe_checker finds vulnerable patterns in binary executables.

• ? Ghidra — A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

• ? Hopper ©️ — macOS and Linux reverse engineering tool that lets you disassemble, decompile and debug applications. Hopper displays the code using different representations, eg the Control Flow Graph, and the pseudo-code of a procedure. Supports Apple Silicon.

• ? IDA Free ©️ — Binary code analysis tool.

• 158 24? Jakstab) — Jakstab is an Abstract Interpretation-based, integrated disassembly and static analysis framework for designing analyses on executables and recovering reliable control flow graphs.

• ? JEB Decompiler ©️ — Decompile and debug binary code. Break down and analyze document files. Android Dalvik, MIPS, ARM, Intel x86, Java, WebAssembly & Ethereum Decompilers.

• ? ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• 1025 161? Manalyze) — A static analyzer, which checks portable executables for malicious content.

• 2670 341? mcsema) ️ — Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode. It translates ("lifts") executable binaries from native machine code to LLVM bitcode, which is very useful for performing program analysis methods.

• 533 80? Nauz File Detector) — Static Linker/Compiler/Tool detector for Windows, Linux and MacOS.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities. This works by embedding data about the dependency tree (Cargo.lock) in JSON format into a dedicated linker section of the compiled executable.

• ? Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• 367 42? VMware chap) — chap analyzes un-instrumented ELF core files for leaks, memory growth, and corruption. It is sufficiently reliable that it can be used in automation to catch leaks before they are committed. As an interactive tool, it helps explain memory growth, can identify some forms of corruption, and supplements a debugger by giving the status of various memory locations.

• ? zydis — Fast and lightweight x86/x86-64 disassembler library

• 1048 45? checkmake) ️ — Linter / Analyzer for Makefiles.

• ? portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• ? CSS Stats — Potentially interesting stats on stylesheets.

• 3291 458? CSScomb) — A coding style formatter for CSS. Supports own configurations to make style sheets beautiful and consistent.

• CSSLint — Does basic syntax checking and finds problematic patterns or signs of inefficiency.

• ? GraphMyCSS.com — CSS Specificity Graph Generator.

• ? Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 2471 72? Parker) ️ — Stylesheet analysis tool.

• ? PostCSS — A tool for transforming styles with JS plugins. These plugins can lint your CSS, support variables and mixins, transpile future CSS syntax, inline images, and more.

• ? Project Wallace CSS Analyzer — Analytics for CSS, part of ? Project Wallace.

• 1767 529? sass-lint) ️ — A Node-only Sass linter for both sass and scss syntax.

• 3659 465? scsslint) — Linter for SCSS files.

• ? Specificity Graph — CSS Specificity Graph Generator.

• Stylelint — Linter for SCSS/CSS files.

• ? dotenv-linter — Linting dotenv files like a charm.

• ? dotenv-linter (Rust) — Lightning-fast linter for .env files. Written in Rust

• 8300 397? gixy) — A tool to analyze Nginx configuration. The main goal is to prevent misconfiguration and automate flaw detection.

• ? ansible-lint — Checks playbooks for practices and behaviour that could potentially be improved.

• 1308 183? AWS CloudFormation Guard) — Check local CloudFormation templates against policy-as-code rules and generate rules from existing templates.

• ? AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• 2470 597? cfn-lint) — AWS Labs CloudFormation linter.

• 1258 211? cfn_nag) — A linter for AWS CloudFormation templates.

• ? checkov — Static analysis tool for Terraform files (tf>=v0.12), preventing cloud misconfigs at build time.

• ? cookstyle — Cookstyle is a linting tool based on the RuboCop Ruby linting tool for Chef cookbooks.

• foodcritic — A lint tool that checks Chef cookbooks for common problems.

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 818 205? Puppet Lint) ️ — Check that your Puppet manifests conform to the style guide.

• ? Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ? terraform-compliance — A lightweight, compliance- and security focused, BDD test framework against Terraform.

• 4786 507? terrascan) — Collection of security and best practice tests for static code analysis of Terraform templates.

• 5017 358? tflint) — A Terraform linter for detecting errors that can not be detected by terraform plan .

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ? anchore — Discover, analyze, and certify container images. A service that analyzes Docker images and applies user-defined acceptance policies to allow automated container image validation and certification

• 10425 1167? clair) — Vulnerability Static Analysis for Containers.

• 290 23? 수집기) ️ — Run arbitrary scripts inside containers, and gather useful information.

• 1163 164? dagda) ️ — Perform static analysis of known vulnerabilities in docker images/containers.

• 79 5? Docker Label Inspector) ️ — Lint and validate Dockerfile labels.

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 10559 422? Haskell Dockerfile Linter) — A smarter Dockerfile linter that helps you build best practice Docker images.

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane Dashboard는 현재 RBAC 보안 자세를 제공하고 정의를 탐색 할 수 있습니다.

• ? OpenSCAP — Suite of automated audit tools to examine the configuration and known vulnerabilities following the NIST-certified Security Content Automation Protocol (SCAP).

• ? Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• ? sysdig ©️ — A secure DevOps platform for cloud and container forensics. Built on an open source stack, Sysdig provides Docker image scanning and created Falco, the open standard for runtime threat detection for containers, Kubernetes and cloud.

• ? Vuls — Agent-less Linux vulnerability scanner based on information from NVD, OVAL, etc. It has some container image support, although is not a container specific tool.

• ? actionlint — Static checker for GitHub Actions workflow files. Provides an online version.

• ? AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• ? Code Climate — The open and extensible static analysis platform, for everyone.

• ? Codecov ©️ — Codecov is a company that provides code coverage tools for developers and engineering leaders to gain visibility into their code coverage. They offer flexible and unified reporting, seamless coverage insights, and robust coverage controls. Codecov supports over 20 languages and is CI/CD agnostic. Over 29,000 organizations and 1 million developers use Codecov. Codecov has recently joined Sentry.

• ? CodeRabbit ©️ — AI-powered code review tool that helps developers write better code faster. CodeRabbit provides automated code reviews, identifies security vulnerabilities, and suggests code improvements. It integrates with GitHub and GitLab.

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ? Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ? Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ? Diffblue ©️ — Diffblue is a software company that provides AI-powered code analysis and testing solutions for software development teams. Its technology helps developers automate testing, find bugs, and reduce manual labor in their software development processes. The company's main product, Diffblue Cover, uses AI to generate and run unit tests for Java code, helping to catch errors and improve code quality.

• ? Exakat - PHP 용 자동 코드 검토 엔진.

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ? Goblint — A static analyzer for the analysis of multi-threaded C programs. Its primary focus is the detection of data races, but it also reports other runtime errors, such as buffer overflows and null-pointer dereferences.

• ? Nitpick CI ©️ — Automated PHP code review.

• ? PullRequest ©️ — Code review as a service with built-in static analysis. Increase velocity and reduce technical debt through quality code review by expert engineers backed by best-in-class automation.

• 155 18? 품질) ️ — Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.

• 111 23? QuantifiedCode) ️ — Automated code review & repair. 소프트웨어 프로젝트에서 문제와 메트릭을 추적하는 데 도움이되며 새로운 유형의 분석을 지원하기 위해 쉽게 확장 할 수 있습니다.

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 8053 427? Reviewdog) — A tool for posting review comments from any linter in any code hosting service.

• ? Symfony Insight © 님 - 보안 위험을 감지하고 버그를 찾고 PHP 프로젝트에 실행 가능한 메트릭을 제공합니다.

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Jenkins, Maven 및 Gradle 플러그인이 많이 사용됩니다.

• 1552 173? deno_lint) — Official linter for Deno.

• 59 29? oelint-adv) — Linter for bitbake recipes used in open-embedded and YOCTO

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 179 75? gherkin-lint) — A linter for the Gherkin-Syntax written in Javascript.

• 1666 230? Angular ESLint) — Linter for Angular projects

• 2395 311? Bootlint) ️ — An HTML linter for Bootstrap projects.

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 66 22? grunt-bootlint) ️ — A Grunt wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 42 8? gulp-bootlint) ️ — A gulp wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 2318 145? HTML Inspector) ️ — HTML Inspector is a code quality tool to help you and your team write better markup.

• HTML Tidy — Corrects and cleans up HTML and XML documents by fixing markup errors and upgrading legacy code to modern standards.

• ? HTML-Validate — Offline HTML5 validator.

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• ? HTMLHint — A Static Code Analysis Tool for HTML.

• ? Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 431 201? Polymer-analyzer) — A static analysis framework for Web Components.

• ? jsonlint — A JSON parser and validator with a CLI. Standalone version of jsonlint.com

• ? Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• 1377 218? chart-testing) — ct is the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.

• 550 45? clusterlint) — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.

• ? Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 42 10? klint) — A tool that listens to changes in Kubernetes resources and runs linting rules against them. Identify and debug erroneous objects and nudge objects in line with the policies as both change over time. Klint helps us encode checks and proactively alert teams when they need to take action.

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane Dashboard는 현재 RBAC 보안 자세를 제공하고 정의를 탐색 할 수 있습니다.

• ? kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 157 12? kube-lint) — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.

• 3011 239? kube-linter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ? kube-score — Static code analysis of your Kubernetes object definitions.

• 2334 126? kubeconform) — A fast Kubernetes manifests validator with support for custom resources.

It is inspired by, contains code from and is designed to stay close to ? Kubeval, but with the following improvements:

• high performance: will validate & download manifests over multiple routines, caching downloaded files in memory
• configurable list of remote, or local schemas locations, enabling validating Kubernetes custom resources (CRDs) and offline validation capabilities
• uses by default a self-updating fork of the schemas registry maintained by the kubernetes-json-schema project - which guarantees up-to-date schemas for all recent versions of Kubernetes.

• 3011 239? KubeLinter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ? kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.

• ChkTeX — A linter for LaTex which catches some typographic errors LaTeX oversees.

• ? lacheck — A tool for finding common mistakes in LaTeX documents.

• ? TeXLab — A Language Server Protocol implementation for TeX/LaTeX, including lint capabilities.

• ? Enlightn - Laravel 앱의 성능, 보안 및 코드 안정성을 향상시키기위한 권장 사항을 제공하는 Laravel 애플리케이션을위한 정적 및 동적 분석 도구. Contains 120 automated checks.

• 5639 424? larastan) — Adds static analysis to Laravel improving developer productivity and code quality. Phpstan 주변의 포장지입니다.

• 1048 45? checkmake) ️ — Linter / Analyzer for Makefiles.

• ? portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• 4891 740? markdownlint) — Node.js -based style checker and lint tool for Markdown/CommonMark files.

• ? mdformat — CommonMark compliant Markdown formatter

• 1837 230? mdl) — A tool to check Markdown files and flag style issues.

• 28 0? mdsf) — Format markdown code blocks using your favorite code formatters.

• ? remark-lint — Pluggable Markdown code style linter written in JavaScript.

• ? textlint — textlint is an open source text linting utility written in JavaScript.

• 26 10? ciocheck) ️ — Linter, formatter and test suite helper. As a linter, it is a wrapper around pep8 , pydocstyle , flake8 , and pylint .

• 3488 310? flake8) — A wrapper around pyflakes , pycodestyle and mccabe .

• ? flakeheaven — flakeheaven is a python linter built around flake8 to enable inheritable and complex toml configuration.

• 3507 267? Go Meta Linter) ️ — Concurrently run Go lint tools and normalise their output. 새로운 프로젝트에는 golangci-lint 사용하십시오.

• 3130 271? goreporter) — Concurrently runs many linters and normalises their output to a report.

• 28 6? multilint) ️ — A wrapper around flake8 , isort and modernize .

• 1964 172? prospector) — A wrapper around pylint , pep8 , mccabe and others.

• Android Lint — Run static analysis on Android projects.

• ? android-lint-summary ️ — Combines lint errors of multiple projects into one output, check lint results of multiple sub-projects at once.

• 1084 300? FlowDroid) — Static taint analysis tool for Android applications.

• ? iblessing ️ — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• ? Mariana Trench — Our security focused static analysis tool for Android and Java applications. Mariana Trench analyzes Dalvik bytecode and is built to run fast on large codebases (10s of millions of lines of code). It can find vulnerabilities as code changes, before it ever lands in your repository.

• ? Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• 74 17? 파프리카) ️ — A toolkit to detect some code smells in analyzed Android applications.

• 3215 644? qark) ️ — Tool to look for several security related Android application vulnerabilities.

• ? redex — Redex provides a framework for reading, writing, and analyzing .dex files, and a set of optimization passes that use this framework to improve the bytecode. An APK optimized by Redex should be smaller and faster.

• 525 13? deadnix) — Scan Nix files for dead code (unused variable bindings)

• ? statix — Lints and suggestions for the Nix programming language. "statix check" highlights antipatterns in Nix code. "statix fix" can fix several such occurrences.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ? njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ? NodeJSSCAN - Node.js 응용 프로그램을위한 정적 보안 코드 스캐너 및 NJSSCAN CLI 도구를 구축하는 libsast 및 Semgrep로 구동되는 응용 프로그램. 응용 프로그램의 보안 상태에 대한 다양한 대시 보드가 장착 된 UI가 있습니다.

• 표준 - JavaScript StyleGuide 문제를 확인하는 NPM 모듈.

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ? Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ? Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ? lintian — Static analysis tool for Debian packages.

• 135 117? rpmlint) — Tool for checking common errors in rpm packages.

• 35 8? promformat) ️ — Promformat is a PromQL formatter written in Python.

• 4 7? promval) — PromQL validator written in Python. It can be used to validate that PromQL expressions are written as expected.

• ? buf — Provides a CLI linter that enforces good API design choices and structure

• 588 52? protolint) — Pluggable linter and fixer to enforce Protocol Buffer style and conventions.

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications. Sinatra, Padrino 및 Ruby on Rails 프레임 워크를 지원합니다.

• ? AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

• ? brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.

• 328 49? Credential Digger) — Credential Digger is a GitHub scanning tool that identifies hardcoded credentials (Passwords, API Keys, Secret Keys, Tokens, personal information, etc), and filtering the false positive data through a machine learning model called ? Password Model. This scanner is able to detect passwords and non structured tokens with a low false positive rate.

• ? Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• 3869 481? detect-secrets) — An enterprise friendly way of detecting and preventing secrets in code. It does this by running periodic diff outputs against heuristically crafted regex statements, to identify whether any new secret has been committed. This way, it avoids the overhead of digging through all git history, as well as the need to scan the entire repository every time.

• ? Enlightn - Laravel 앱의 성능, 보안 및 코드 안정성을 향상시키기위한 권장 사항을 제공하는 Laravel 애플리케이션을위한 정적 및 동적 분석 도구. Contains 120 automated checks.

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 18218 1492? Gitleaks) — A SAST tool for detecting hardcoded secrets like passwords, api keys, and tokens in git repos.

• 2181 110? gokart) — Golang security analysis with a focus on minimizing false positives. It is capable of tracing the source of variables and function arguments to determine whether input sources are safe.

• ? HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ? iblessing ️ — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• ? ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• ? kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ? LunaSec — Open Source AppSec platform that automatically notifies you the next time vulnerabilities like Log4Shell or node-ipc happen. Track your dependencies and builds in a centralized service.

• ? njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ? NodeJSSCAN - Node.js 응용 프로그램을위한 정적 보안 코드 스캐너 및 NJSSCAN CLI 도구를 구축하는 libsast 및 Semgrep로 구동되는 응용 프로그램. 응용 프로그램의 보안 상태에 대한 다양한 대시 보드가 장착 된 UI가 있습니다.

• ? Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• ? PT Application Inspector ©️ — Identifies code flaws and detects vulnerabilities to prevent web attacks. Demonstrates remote code execution by presenting possible exploits.

• ? Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• 111 23? QuantifiedCode) ️ — Automated code review & repair. 소프트웨어 프로젝트에서 문제와 메트릭을 추적하는 데 도움이되며 새로운 유형의 분석을 지원하기 위해 쉽게 확장 할 수 있습니다.

• ? Rezilion ©️ — Discovers vulnerabilities for all components in your environment, filters out 85% non-exploitable vulnerabilities and creates a remediation plan and open tickets to upgrade components that violate your security policy and/or patch automatically in CI.

• 4672 508? scorecard) — Security Scorecards - Security health metrics for Open Source

• ? SearchDiggity ©️ — Identifies vulnerabilities in open source code projects hosted on Github, Google Code, MS CodePlex, SourceForge, and more. The tool comes with over 130 default searches that identify SQL injection, cross-site scripting (XSS), insecure remote and local file includes, hard-coded passwords, etc.

• ? Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ? Symfony Insight © 님 - 보안 위험을 감지하고 버그를 찾고 PHP 프로젝트에 실행 가능한 메트릭을 제공합니다.

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ? trufflehog — Find credentials all over the place TruffleHog is an open source secret-scanning engine that resolves exposed secrets across your company's entire tech stack.

• 8299 896? Tsunami Security Scanner) — A general purpose network security scanner with an extensible plugin system for detecting high severity RCE-like vulnerabilities with high confidence. Custom detectors for finding vulnerabilities (eg open APIs) can be added.

• 3904 744? mythril) — A symbolic execution framework with batteries included, can be used to find and exploit vulnerabilities in smart contracts automatically.

• ? MythX ©️ — MythX is an easy to use analysis platform which integrates several analysis methods like fuzzing, symbolic execution and static analysis to find vulnerabilities with high precision. It can be integrated with toolchains like Remix or VSCode or called from the command-line.

• 5406 982? slither) — Static analysis framework that runs a suite of vulnerability detectors, prints visual information about contract details, and provides an API to easily write custom analyses.

• ? solhint — Solhint is an open source project created by https://protofire.io. Its goal is to provide a linting utility for Solidity code.

• ? solium — Solium is a linter to identify and fix style and security issues in Solidity smart contracts.

• 23 7? LibVCS4j) — A Java library that allows existing tools to analyse the evolution of software systems by providing a common API for different version control systems and issue trackers.

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Jenkins, Maven 및 Gradle 플러그인이 많이 사용됩니다.

• 267 237? ember-template-lint) — Linter for Ember or Handlebars templates.

• 318 101? haml-lint) — Tool for writing clean and consistent HAML.

• 210 60? slim-lint) — Configurable tool for analyzing Slim templates.

• ? yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ? kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

• 369 15? shisho) ️ — A lightweight static code analyzer designed for developers and security teams. It allows you to analyze and transform source code with an intuitive DSL similar to sed, but for code.

• 50 10? dennis) — A set of utilities for working with PO files to ease development and improve quality.

• ? HTML-Validate — Offline HTML5 validator.

• ? Vetur ️ — Vue tooling for VS Code, powered by vls (vue language server). Vetur has support for formatting embedded HTML, CSS, SCSS, JS, TypeScript, and more. Vetur only has a "whole document formatter" and cannot format arbitrary ranges.

• ? Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• ? After the Deadline ️ — Spell, style and grammar checker.

• ? alex — Catch insensitive, inconsiderate writing

• 1964 472? codespell) — Check code for common misspellings.

• ? languagetool — Style and grammar checker for 25+ languages. It finds many errors that a simple spell checker cannot detect.

• 193 23? misspell-fixer) ️ — Quick tool for fixing common misspellings, typos in source code.

• ? Misspelled Words In Context — A spell-checker that groups possible misspellings and shows them in their contexts.

• 4368 179? proselint) — A linter for English prose with a focus on writing style instead of grammar.

• ? vale — A syntax-aware linter for prose built with speed and extensibility in mind.

• 4966 190? write-good) — A linter with a focus on eliminating "weasel words".

• ? Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• ? yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ? commitlint — checks if your commit messages meet the conventional commit format

• ? GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ? HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ? ?? Clean code linters) — A collection of linters in github collections
• ? ?? Code Quality Checker Tools For PHP Projects) — A collection of PHP linters in github collections
• 6262 377? go-tools) — A collection of tools and libraries for working with Go code, including linters and static analysis
• 342 31? linters) — An introduction to static code analysis
• ? OWASP Source Code Analysis Tools — List of tools maintained by the Open Web Application Security Project
• 2827 245? php-static-analysis-tools) — A reviewed list of useful PHP static analysis tools
• Wikipedia — A list of tools for static code analysis.

To the extent possible under law, ? Matthias Endler has waived all copyright and related or neighboring rights to this work. The underlying source code used to format and display that content is licensed under the MIT license.

Title image Designed by Freepik.

13455 1361? analysis-tools-dev/static-analysis)