ดาวน์โหลด cybersecurity static analysis - cybersecurity static analysis รหัสแหล่งดาวน์โหลด

เครื่องมือวิเคราะห์แบบคงที่

คอลเล็กชั่นการสแกนช่องโหว่ที่ยอดเยี่ยมและการดูแลอย่างต่อเนื่องและการจัดสรรซอฟต์แวร์การสแกนห้องสมุดและเฟรมเวิร์กแนวทางที่ดีที่สุดและทรัพยากรทางเทคนิคและการทดสอบความปลอดภัยแอปพลิเคชันแบบคงที่ที่สำคัญที่สุด (SAST)

`What is Static Analysis?`

การวิเคราะห์แบบคงที่คือการทดสอบและการประเมินผลของแอปพลิเคชันโดยการตรวจสอบรหัสโดยไม่ดำเนินการแอปพลิเคชัน

คงที่

`Why Static Code Analysis is important?`

มันตรวจสอบเส้นทางการดำเนินการที่เป็นไปได้ทั้งหมดและค่าตัวแปรไม่ใช่แค่เส้นทางที่เรียกใช้ในระหว่างการดำเนินการ ดังนั้นการวิเคราะห์แบบคงที่สามารถเปิดเผยข้อผิดพลาดที่อาจไม่ปรากฏตัวจนถึงสัปดาห์เดือนหรือปีหลังจากการปล่อยตัว การวิเคราะห์แบบคงที่นี้มีคุณค่าโดยเฉพาะอย่างยิ่งในการประกันความปลอดภัยเนื่องจากการโจมตีด้านความปลอดภัยมักใช้แอปพลิเคชันในรูปแบบที่ไม่คาดฝันและไม่ผ่านการทดสอบ

`Table of Contents`

ภาษาการเขียนโปรแกรม

แสดงภาษา

ลดลง
อาดา
การประกอบ
อึ
C
C#
C ++
การปิดบัง
CoffeeScript
คริสตัล
โผ
Delphi
Dlang
น้ำอมฤต
เอล์ม
Erlang
f#
คนหาอาหาร
ไป
ร่อง
Haskell
Haxe
ชวา
จาวาสคริปต์
จูเลีย
Kotlin
Lua
matlab
ไม่มีความสุข
Ocaml
PHP
PL/SQL
Perl
งูหลาม
R
ทับทิม
สนิม
SQL
สกาล่า
เปลือก
ฉับพลัน
TCL
ตัวพิมพ์ใหญ่
VBScript
Verilog/SystemVerilog
สคริปต์ vim

หลายภาษา

อื่น

เชิงมุม
ตอบได้
Azure Resource Manager
ไบนารี
สร้างเครื่องมือ
CSS/SASS/SCSS
ไฟล์กำหนดค่า
การจัดการการกำหนดค่า
ภาชนะบรรจุ
การบูรณาการอย่างต่อเนื่อง
Deno
ที่ฝังอยู่
ทับทิมฝัง (aka erb, eruby)
ไส้
HTML
JSON
Kubernetes
น้ำยาง
Laravel
makefiles
การทำเครื่องหมาย
มิทเทิร์น
มือถือ
ห้าม
node.js
แพ็คเกจ
บัฟเฟอร์โปรโตคอล
หุ่นเชิด
ราง
ความปลอดภัย/Sast
สัญญาอัจฉริยะ
สนับสนุน
เทมเพลตภาษา
รูปปั้น
การแปล
vue.js
การใช้เว็บ
การเขียน
ยม
กระตวน

`Programming Languages`

ลดลง

Abaplint - Linter สำหรับ ABAP เขียนด้วย TypeScript
ABAPOPENCHECKS - ปรับปรุงผู้ตรวจสอบรหัส SAP ด้วยการตรวจสอบใหม่และปรับแต่งได้

อาดา

CodePeer ©️-ตรวจพบข้อผิดพลาดในการรันไทม์และตรรกะ
Polyspace สำหรับ ADA ©️-ให้การตรวจสอบรหัสที่พิสูจน์ว่าไม่มีการล้น, หารโดยศูนย์, การเข้าถึงอาร์เรย์นอกขอบเขตและข้อผิดพลาดอื่น ๆ รันไทม์อื่น ๆ ในซอร์สโค้ด
Spark ©️ - การวิเคราะห์แบบคงที่และชุดเครื่องมือตรวจสอบอย่างเป็นทางการสำหรับ ADA

การประกอบ

จี้ -เครื่องมือเพิ่มประสิทธิภาพการเขียนโปรแกรมแบบไม่เชื่อเรื่องพระเจ้าสำหรับชุดคำสั่ง X86_64 มันใช้การค้นหาแบบสุ่มเพื่อสำรวจพื้นที่มิติที่สูงมากของการแปลงโปรแกรมที่เป็นไปได้ทั้งหมด

อึ

Gawk -Lint -เตือนเกี่ยวกับการสร้างที่น่าสงสัยหรือไม่สามารถใช้งานได้กับการใช้งาน AWK อื่น ๆ

C

Astrée©️ - Astréeพิสูจน์การขาดข้อผิดพลาดรันไทม์โดยอัตโนมัติและพฤติกรรมที่เกิดขึ้นพร้อมกันไม่ถูกต้องในแอปพลิเคชัน C/C ++ มันเป็นเสียงสำหรับการคำนวณจุดลอยตัวเร็วมากและแม่นยำเป็นพิเศษ เครื่องวิเคราะห์ยังตรวจสอบกฎการเข้ารหัส Autosar MISRA/CERT/CWE/Adaptive Autosar และสนับสนุนคุณสมบัติสำหรับ ISO 26262, DO-178C ระดับ A และมาตรฐานความปลอดภัยอื่น ๆ มีปลั๊กอิน Jenkins และ Eclipse
CBMC-ตัวตรวจสอบแบบจำลองที่มีขอบเขตสำหรับโปรแกรม C, การยืนยันที่ผู้ใช้กำหนด, การยืนยันมาตรฐาน, การวิเคราะห์การครอบคลุมหลายตัวชี้วัด
Clang-Tidy-Clang Static Analyzer
Clazy-เครื่องวิเคราะห์รหัสสแตติกที่มุ่งเน้น QT ตามกรอบการทำงาน Clazy เป็นปลั๊กอินคอมไพเลอร์ที่ช่วยให้เสียงดังเข้าใจความหมาย QT คุณจะได้รับคำเตือนคอมไพเลอร์ที่เกี่ยวข้องมากกว่า 50 QT ตั้งแต่การจัดสรรหน่วยความจำที่ไม่จำเป็นไปจนถึง API ที่ไม่ถูกต้องรวมถึงการแก้ไขสำหรับการปรับโครงสร้างอัตโนมัติ
CMetrics - วัดขนาดและความซับซ้อนสำหรับไฟล์ C
CPACHECKER - เครื่องมือสำหรับการตรวจสอบซอฟต์แวร์ที่กำหนดค่าได้ของโปรแกรม C ชื่อ CPACHECKER ได้รับเลือกให้สะท้อนให้เห็นว่าเครื่องมือนั้นใช้แนวคิด CPA และใช้สำหรับการตรวจสอบโปรแกรมซอฟต์แวร์
CPPCHECK - การวิเคราะห์แบบคงที่ของรหัส C/C ++
การพึ่งพาอาศัยกัน ©️ - วัดสอบถามและแสดงภาพรหัสของคุณและหลีกเลี่ยงปัญหาที่ไม่คาดคิดหนี้ทางเทคนิคและความซับซ้อน
CPPLINT - ตัวตรวจสอบ C ++ อัตโนมัติที่ติดตามคู่มือสไตล์ของ Google
CQMetrics - ตัวชี้วัดคุณภาพสำหรับรหัส C
cscout - ความซับซ้อนและตัวชี้วัดคุณภาพสำหรับรหัส preprocessor C และ C
ESBMC-ESBMC เป็นโอเพ่นซอร์สที่ได้รับใบอนุญาตและได้รับใบอนุญาตแบบจำลองบริบทตามทฤษฎีโมดูโลที่น่าพอใจสำหรับการตรวจสอบโปรแกรม C/C ++ แบบหลายเธรด
FlawFinding - พบจุดอ่อนด้านความปลอดภัยที่เป็นไปได้
Flint ++-พอร์ตข้ามแพลตฟอร์ม, พอร์ตการพึ่งพาศูนย์ของ Flint, โปรแกรมผ้าสำลีสำหรับ C ++ พัฒนาและใช้ที่ Facebook
FRAMA-C-เครื่องวิเคราะห์แบบคงที่เสียงและขยายได้สำหรับรหัส C
Helix QAC ©️-การวิเคราะห์แบบคงที่ระดับองค์กรสำหรับซอฟต์แวร์ฝังตัว รองรับมาตรฐานการเข้ารหัส MISRA, CERT และ AUTOSAR
IKOS - เครื่องวิเคราะห์แบบคงที่เสียงสำหรับรหัส C/C ++ ตาม LLVM
Joern-แพลตฟอร์มการวิเคราะห์รหัสโอเพนซอร์ซสำหรับ C/C ++ ตามกราฟคุณสมบัติรหัส
LDRA ©️ - ชุดเครื่องมือรวมถึงการวิเคราะห์แบบคงที่ (TBVISION) ไปยังมาตรฐานต่าง ๆ รวมถึง MISRA C & C ++, JSF ++ AV, CWE, CERT C, CERT C ++ & กฎที่กำหนดเอง
PC-LINT ©️-การวิเคราะห์แบบคงที่สำหรับ C/C ++ ทำงานภายใต้ Windows/Linux/MacOS วิเคราะห์รหัสสำหรับแพลตฟอร์มใด ๆ ที่รองรับ C11/C18 และ C ++ 17
PHASAR-กรอบการวิเคราะห์แบบคงที่แบบ LLVM ซึ่งมาพร้อมกับการวิเคราะห์สถานะที่น่าเบื่อและประเภท
Polyspace Bug Finder ©️-ระบุข้อผิดพลาดเวลารันเวลาปัญหาพร้อมกันช่องโหว่ความปลอดภัยและข้อบกพร่องอื่น ๆ ในซอฟต์แวร์ C และ C ++
Polyspace Code Prover ©️-ให้การตรวจสอบรหัสที่พิสูจน์ว่าไม่มีการล้น, หารโดยศูนย์, การเข้าถึงอาร์เรย์นอกขอบเขต, และข้อผิดพลาดอื่น ๆ รันไทม์อื่น ๆ ในซอร์สโค้ด C และ C ++
Scan-Build-วิเคราะห์รหัส C/C ++ โดยใช้ LLVM ในเวลาคอมไพล์
Splint-โปรแกรมตรวจสอบโปรแกรมแบบคงที่ด้วยคำอธิบายประกอบ
SVF - เครื่องมือแบบคงที่ที่ช่วยให้สามารถวิเคราะห์การพึ่งพาอาศัยกันของ Interprocedural ได้อย่างแม่นยำและแม่นยำสำหรับโปรแกรม C และ C ++
Vera ++ - Vera ++ เป็นเครื่องมือที่ตั้งโปรแกรมได้สำหรับการตรวจสอบการวิเคราะห์และการแปลงซอร์สโค้ด C ++

C#

.NET ANALASEZERS - องค์กรเพื่อการพัฒนาเครื่องวิเคราะห์ (การวินิจฉัยและการแก้ไขรหัส) โดยใช้แพลตฟอร์ม. NET Compiler
ArchunitNet - ไลบรารีทดสอบสถาปัตยกรรม AC# เพื่อระบุและยืนยันกฎสถาปัตยกรรมใน C# สำหรับการทดสอบอัตโนมัติ
Code-Cracker-ไลบรารีเครื่องวิเคราะห์สำหรับ C# และ VB ที่ใช้ Roslyn เพื่อสร้าง refactorings การวิเคราะห์รหัสและ niceties อื่น ๆ
ความเชี่ยวชาญ - C# Essentials เป็นชุดของเครื่องวิเคราะห์การวินิจฉัย Roslyn, การแก้ไขรหัสและ refactorings ที่ทำให้ง่ายต่อการทำงานกับคุณสมบัติภาษา C# 6
Designite ©️ - Designite รองรับการตรวจจับสถาปัตยกรรมการออกแบบและกลิ่นการใช้งานการคำนวณตัวชี้วัดคุณภาพรหัสต่างๆและการวิเคราะห์แนวโน้ม
GENDARME - GENDARME ตรวจสอบโปรแกรมและห้องสมุดที่มีรหัสในรูปแบบ ECMA CIL (MONO และ. NET)
Infer# - Infersharp (เรียกอีกอย่างว่า Infer#) เป็นตัววิเคราะห์รหัสแบบคงที่และปรับขนาดได้สำหรับ C# ผ่านความสามารถของการอนุมานของ Facebook เครื่องมือนี้ตรวจจับการลดลงของตัวชี้ null และการรั่วไหลของทรัพยากร
ndepend ©️ - วัดสอบถามและมองเห็นรหัสของคุณและหลีกเลี่ยงปัญหาที่ไม่คาดคิดหนี้ทางเทคนิคและความซับซ้อน
PUMA SCAN - PUMA SCAN ให้การวิเคราะห์รหัสที่ปลอดภัยแบบเรียลไทม์สำหรับช่องโหว่ทั่วไป (XSS, SQLI, CSRF, LDAPI, Crypto, Deserialization ฯลฯ ) เมื่อทีมพัฒนาเขียนโค้ดใน Visual Studio
ROSLYNATOR - คอลเล็กชั่นเครื่องวิเคราะห์กว่า 190 รายการและ 190+ Refactorings สำหรับ C#ขับเคลื่อนโดย Roslyn
vsdiagnostics - คอลเลกชันของเครื่องวิเคราะห์แบบคงที่บนพื้นฐานของ Roslyn ที่รวมเข้ากับ VS.
Wintellect.analyzers -. NET Compiler Platform ("Roslyn") เครื่องวิเคราะห์การวินิจฉัยและการแก้ไขรหัส

C ++

Astrée©️ - Astréeพิสูจน์การขาดข้อผิดพลาดรันไทม์โดยอัตโนมัติและพฤติกรรมที่เกิดขึ้นพร้อมกันไม่ถูกต้องในแอปพลิเคชัน C/C ++ มันเป็นเสียงสำหรับการคำนวณจุดลอยตัวเร็วมากและแม่นยำเป็นพิเศษ เครื่องวิเคราะห์ยังตรวจสอบกฎการเข้ารหัส Autosar MISRA/CERT/CWE/Adaptive Autosar และสนับสนุนคุณสมบัติสำหรับ ISO 26262, DO-178C ระดับ A และมาตรฐานความปลอดภัยอื่น ๆ มีปลั๊กอิน Jenkins และ Eclipse
CBMC-ตัวตรวจสอบแบบจำลองที่มีขอบเขตสำหรับโปรแกรม C, การยืนยันที่ผู้ใช้กำหนด, การยืนยันมาตรฐาน, การวิเคราะห์การครอบคลุมหลายตัวชี้วัด
Clang-Tidy-Clang Static Analyzer
Clazy-เครื่องวิเคราะห์รหัสสแตติกที่มุ่งเน้น QT ตามกรอบการทำงาน Clazy เป็นปลั๊กอินคอมไพเลอร์ที่ช่วยให้เสียงดังเข้าใจความหมาย QT คุณจะได้รับคำเตือนคอมไพเลอร์ที่เกี่ยวข้องมากกว่า 50 QT ตั้งแต่การจัดสรรหน่วยความจำที่ไม่จำเป็นไปจนถึง API ที่ไม่ถูกต้องรวมถึงการแก้ไขสำหรับการปรับโครงสร้างอัตโนมัติ
CMetrics - วัดขนาดและความซับซ้อนสำหรับไฟล์ C
CPPCHECK - การวิเคราะห์แบบคงที่ของรหัส C/C ++
การพึ่งพาอาศัยกัน ©️ - วัดสอบถามและแสดงภาพรหัสของคุณและหลีกเลี่ยงปัญหาที่ไม่คาดคิดหนี้ทางเทคนิคและความซับซ้อน
CPPLINT - ตัวตรวจสอบ C ++ อัตโนมัติที่ติดตามคู่มือสไตล์ของ Google
CQMetrics - ตัวชี้วัดคุณภาพสำหรับรหัส C
cscout - ความซับซ้อนและตัวชี้วัดคุณภาพสำหรับรหัส preprocessor C และ C
ESBMC-ESBMC เป็นโอเพ่นซอร์สที่ได้รับใบอนุญาตและได้รับใบอนุญาตแบบจำลองบริบทตามทฤษฎีโมดูโลที่น่าพอใจสำหรับการตรวจสอบโปรแกรม C/C ++ แบบหลายเธรด
FlawFinding - พบจุดอ่อนด้านความปลอดภัยที่เป็นไปได้
Flint ++-พอร์ตข้ามแพลตฟอร์ม, พอร์ตการพึ่งพาศูนย์ของ Flint, โปรแกรมผ้าสำลีสำหรับ C ++ พัฒนาและใช้ที่ Facebook
FRAMA-C-เครื่องวิเคราะห์แบบคงที่เสียงและขยายได้สำหรับรหัส C
Helix QAC ©️-การวิเคราะห์แบบคงที่ระดับองค์กรสำหรับซอฟต์แวร์ฝังตัว รองรับมาตรฐานการเข้ารหัส MISRA, CERT และ AUTOSAR
IKOS - เครื่องวิเคราะห์แบบคงที่เสียงสำหรับรหัส C/C ++ ตาม LLVM
Joern-แพลตฟอร์มการวิเคราะห์รหัสโอเพนซอร์ซสำหรับ C/C ++ ตามกราฟคุณสมบัติรหัส
LDRA ©️ - ชุดเครื่องมือรวมถึงการวิเคราะห์แบบคงที่ (TBVISION) ไปยังมาตรฐานต่าง ๆ รวมถึง MISRA C & C ++, JSF ++ AV, CWE, CERT C, CERT C ++ & กฎที่กำหนดเอง
PC-LINT ©️-การวิเคราะห์แบบคงที่สำหรับ C/C ++ ทำงานภายใต้ Windows/Linux/MacOS วิเคราะห์รหัสสำหรับแพลตฟอร์มใด ๆ ที่รองรับ C11/C18 และ C ++ 17
PHASAR-กรอบการวิเคราะห์แบบคงที่แบบ LLVM ซึ่งมาพร้อมกับการวิเคราะห์สถานะที่น่าเบื่อและประเภท
Polyspace Bug Finder ©️-ระบุข้อผิดพลาดเวลารันเวลาปัญหาพร้อมกันช่องโหว่ความปลอดภัยและข้อบกพร่องอื่น ๆ ในซอฟต์แวร์ C และ C ++
Polyspace Code Prover ©️-ให้การตรวจสอบรหัสที่พิสูจน์ว่าไม่มีการล้น, หารโดยศูนย์, การเข้าถึงอาร์เรย์นอกขอบเขต, และข้อผิดพลาดอื่น ๆ รันไทม์อื่น ๆ ในซอร์สโค้ด C และ C ++
Scan-Build-วิเคราะห์รหัส C/C ++ โดยใช้ LLVM ในเวลาคอมไพล์
Splint-โปรแกรมตรวจสอบโปรแกรมแบบคงที่ด้วยคำอธิบายประกอบ
SVF - เครื่องมือแบบคงที่ที่ช่วยให้สามารถวิเคราะห์การพึ่งพาอาศัยกันของ Interprocedural ได้อย่างแม่นยำและแม่นยำสำหรับโปรแกรม C และ C ++
Vera ++ - Vera ++ เป็นเครื่องมือที่ตั้งโปรแกรมได้สำหรับการตรวจสอบการวิเคราะห์และการแปลงซอร์สโค้ด C ++

การปิดบัง

clj-kondo-linter สำหรับรหัส Clojure ที่ประกายความสุข มันแจ้งให้คุณทราบเกี่ยวกับข้อผิดพลาดที่อาจเกิดขึ้นในขณะที่คุณกำลังพิมพ์

CoffeeScript

Coffeelint - ตัวตรวจสอบสไตล์ที่ช่วยรักษารหัสกาแฟให้สะอาดและสม่ำเสมอ

คริสตัล

AMEBA - เครื่องมือวิเคราะห์รหัสแบบคงที่สำหรับคริสตัล
Crystal-คอมไพเลอร์คริสตัลมีฟังก์ชั่นผ้าสำลีในตัว

โผ

ตัวชี้วัดรหัส DART - linter เพิ่มเติมสำหรับ DART ตัวชี้วัดรหัสรายงานตรวจสอบการต่อต้านรูปแบบและจัดทำกฎเพิ่มเติมสำหรับเครื่องวิเคราะห์ DART
Effect_dart - กฎ linter ที่สอดคล้องกับแนวทางในการโผที่มีประสิทธิภาพ
LINT-ชุดกฎผ้าสำลีที่มีความคิดเห็นและขับเคลื่อนโดยชุมชนสำหรับโครงการ DART และ FLUTTER เหมือนคนขี้เล่น แต่เข้มงวดขึ้น
Linter สำหรับ DART - สไตล์ linter สำหรับ DART

Delphi

FIX Insight ©️ - ปลั๊กอิน IDE ฟรีสำหรับการวิเคราะห์รหัสแบบคงที่ Pro Edition มีเครื่องมือบรรทัดคำสั่งสำหรับวัตถุประสงค์อัตโนมัติ
Pascal Analyzer ©️ - เครื่องมือวิเคราะห์รหัสแบบคงที่พร้อมรายงานจำนวนมาก เวอร์ชัน Lite ฟรีพร้อมใช้งานพร้อมการรายงานที่ จำกัด
ผู้เชี่ยวชาญ Pascal ©️ - ปลั๊กอิน IDE สำหรับการวิเคราะห์รหัส รวมชุดย่อยของความสามารถในการรายงาน Pascal Analyzer และพร้อมใช้งานสำหรับ Delphi Version 2007 และในภายหลัง

Dlang

D-Scanner-D-Scanner เป็นเครื่องมือสำหรับการวิเคราะห์รหัสแหล่ง D

น้ำอมฤต

CREDO - เครื่องมือวิเคราะห์รหัสแบบคงที่โดยมุ่งเน้นไปที่ความสอดคล้องของรหัสและการสอน
DIALYXIR - งานผสมเพื่อลดความซับซ้อนของการใช้ Dialyzer ในโครงการน้ำอมฤต
Sobelow-การวิเคราะห์แบบคงที่ที่เน้นความปลอดภัยสำหรับเฟรมเวิร์กฟีนิกซ์

เอล์ม

การวิเคราะห์ - เครื่องมือที่ช่วยให้คุณวิเคราะห์รหัส ELM ของคุณระบุข้อบกพร่องและใช้แนวทางปฏิบัติที่ดีที่สุด
ELM-Review-วิเคราะห์โครงการ ELM ทั้งหมดโดยมุ่งเน้นไปที่กฎที่ใช้ร่วมกันและกำหนดเองที่เขียนใน ELM ซึ่งเพิ่มการรับประกันคอมไพเลอร์ Elm ไม่ได้ให้คุณ

Erlang

Dialyzer - Dialyzer ตัววิเคราะห์ความแตกต่างสำหรับโปรแกรม Erlang Dialyzer เป็นเครื่องมือวิเคราะห์แบบคงที่ที่ระบุความคลาดเคลื่อนของซอฟต์แวร์เช่นข้อผิดพลาดประเภทที่แน่นอนรหัสที่ตายแล้วหรือไม่สามารถเข้าถึงได้เนื่องจากข้อผิดพลาดในการเขียนโปรแกรมและการทดสอบที่ไม่จำเป็นในโมดูล ERLANG เดียวหรือแอปพลิเคชันทั้งหมด (ชุด) Dialyzer เริ่มการวิเคราะห์จากลำแสงที่ดีบั๊กคอมไพล์หรือจากซอร์สโค้ด Erlang จำนวนไฟล์และบรรทัดของความคลาดเคลื่อนมีการรายงานพร้อมกับข้อบ่งชี้ว่าความคลาดเคลื่อนเกี่ยวกับอะไร Dialyzer ฐานการวิเคราะห์เกี่ยวกับแนวคิดของการพิมพ์ที่ประสบความสำเร็จซึ่งช่วยให้คำเตือนเสียง (ไม่มีข้อดีที่ผิดพลาด)
Elvis - ผู้ตรวจสอบสไตล์ Erlang
Primitive Erlang Security Tool (PEST) - เครื่องมือในการสแกนขั้นพื้นฐานของซอร์สโค้ด Erlang และรายงานการเรียกใช้ฟังก์ชันใด ๆ ที่อาจทำให้ซอร์สโค้ด Erlang ไม่ปลอดภัย

f#

fsharplint - เครื่องมือผ้าสำลีสำหรับ f#

คนหาอาหาร

i-code cnes สำหรับ fortran - เครื่องมือวิเคราะห์รหัสแบบคงที่โอเพ่นซอร์สสำหรับ Fortran 77, Fortran 90 และ Shell

ไป

AlignCheck - ค้นหาโครงสร้างที่บรรจุอย่างไม่มีประสิทธิภาพ
BodyClose - ตรวจสอบว่าการตอบสนองของ HTTP ถูกปิดหรือไม่
DeadCode - ค้นหารหัสที่ไม่ได้ใช้
นักล่า Dingo - เครื่องวิเคราะห์แบบคงที่สำหรับการค้นหาการหยุดชะงักใน GO
Dogsled - ค้นหาการมอบหมาย/การประกาศที่มีตัวระบุว่างเปล่ามากเกินไป
คู่ - รายงานรหัสที่ซ้ำกัน
ErrCheck - ตรวจสอบว่าใช้ค่าส่งคืนข้อผิดพลาด
Errwrap - ห่อและแก้ไขข้อผิดพลาดด้วยคำสั่ง Verb %W ใหม่ เครื่องมือนี้วิเคราะห์การโทร FMT.Errorf () และรายงานการโทรที่มีคำสั่งคำกริยาที่แตกต่างจากคำสั่ง VERB %W ใหม่ที่แนะนำใน GO v1.13 นอกจากนี้ยังมีความสามารถในการเขียนการโทรใหม่เพื่อใช้คำสั่ง Vrap Verb ใหม่ %W ใหม่
FLEN - รับข้อมูลเกี่ยวกับความยาวของฟังก์ชั่นในแพ็คเกจ GO
ไปเมตาลินเตอร์ - ใช้เครื่องมือผ้าสำลีไปพร้อมกันและทำให้เอาต์พุตปกติ ใช้ golangci-lint สำหรับโครงการใหม่
Go Tool Vet -Shadow -รายงานตัวแปรที่อาจมีเงาโดยไม่ได้ตั้งใจ
Go Vet - ตรวจสอบรหัสแหล่งที่มาและรายงานที่น่าสงสัย
เป็นไปได้ - เครื่องวิเคราะห์ที่ช่วยให้คุณทำให้โปรแกรม GO ของคุณสอดคล้องกันมากขึ้น
Go-Critic-GO ซอร์สโค้ด linter ที่ดูแลการตรวจสอบซึ่งปัจจุบันไม่ได้ใช้งานในผ้าลินินอื่น ๆ
GO/AST - แพ็คเกจ AST ประกาศประเภทที่ใช้เพื่อแสดงต้นไม้ไวยากรณ์สำหรับแพ็คเกจ GO
Gochecknoglobals - ตรวจสอบว่าไม่มี globals อยู่
GoConst - พบสตริงซ้ำที่สามารถแทนที่ด้วยค่าคงที่
GOCYCLO - คำนวณความซับซ้อนของวัฏจักรของฟังก์ชั่นในซอร์สโค้ด GO
GOFMT -S -ตรวจสอบว่ารหัสถูกจัดรูปแบบอย่างเหมาะสมและไม่สามารถทำให้ง่ายขึ้นได้หรือไม่
Goimports - ตรวจสอบการนำเข้าแพ็คเกจที่ขาดหายไปหรือไม่ได้อ้างอิง
GOKART - การวิเคราะห์ความปลอดภัยของ Golang โดยมุ่งเน้นที่การลดผลบวกที่ผิดพลาด มันมีความสามารถในการติดตามแหล่งที่มาของตัวแปรและอาร์กิวเมนต์ฟังก์ชั่นเพื่อตรวจสอบว่าแหล่งที่มาของอินพุตปลอดภัยหรือไม่
Golangci-Lint-ทางเลือกที่จะ Go Meta Linter : Golangci-Lint เป็นผู้รวบรวม Linters
GOLINT - พิมพ์ข้อผิดพลาดสไตล์การเข้ารหัสในรหัสแหล่งที่มา
GOREPORTER - ดำเนินการกับผ้าประบอนจำนวนมากพร้อมกันและปกติเอาต์พุตของพวกเขาไปยังรายงาน
Goroutine-Inspect-เครื่องมือแบบโต้ตอบเพื่อวิเคราะห์การถ่ายโอนข้อมูล Golang Goroutine
GOSEC (GAS) - ตรวจสอบซอร์สโค้ดสำหรับปัญหาด้านความปลอดภัยโดยการสแกน AST
Gotype - การวิเคราะห์ทางไวยากรณ์และความหมายคล้ายกับคอมไพเลอร์ GO
ippassign - ตรวจจับการมอบหมายที่ไม่ได้ผลในรหัส GO
ผู้แทรกแซง - แนะนำอินเทอร์เฟซที่แคบกว่าที่สามารถใช้งานได้
LLL - รายงานสายยาว
Maligned - ตรวจจับโครงสร้างที่จะใช้หน่วยความจำน้อยลงหากเขตข้อมูลของพวกเขาถูกจัดเรียง
ACSPELL - พบคำภาษาอังกฤษที่สะกดผิดโดยทั่วไป
Nakedret - พบผลตอบแทนที่เปลือยเปล่า
NARGS - ค้นหาข้อโต้แย้งที่ไม่ได้ใช้ในการประกาศฟังก์ชั่น
prealloc - ค้นหาคำประกาศชิ้นที่อาจถูก preallocated
ReviewDog - เครื่องมือสำหรับการโพสต์รีวิวความคิดเห็นจาก linter ใด ๆ ในบริการโฮสต์รหัสใด ๆ
Revive - เร็วกำหนดค่าได้ขยายได้ยืดหยุ่นและสวยงามสำหรับการเดินทาง การแทนที่ Golint
SAFESQL - เครื่องมือการวิเคราะห์แบบคงที่สำหรับ Golang ที่ป้องกันการฉีด SQL
Shisho - เครื่องวิเคราะห์รหัสสแตติกที่มีน้ำหนักเบาออกแบบมาสำหรับนักพัฒนาและทีมรักษาความปลอดภัย ช่วยให้คุณวิเคราะห์และแปลงซอร์สโค้ดด้วย DSL ที่ใช้งานง่ายคล้ายกับ SED แต่สำหรับรหัส
STATICCHECK - การวิเคราะห์แบบคงที่ GO ที่เชี่ยวชาญในการค้นหาข้อบกพร่องการทำให้โค้ดง่ายขึ้นและปรับปรุงประสิทธิภาพ
structcheck - ค้นหาเขตข้อมูลโครงสร้างที่ไม่ได้ใช้
structslop - เครื่องวิเคราะห์แบบคงที่สำหรับ GO ที่แนะนำการจัดเรียงฟิลด์โครงสร้างใหม่เพื่อให้ได้ประสิทธิภาพพื้นที่/การจัดสรรสูงสุด
การทดสอบ - แสดงตำแหน่งของความล้มเหลวในการทดสอบจากโมดูลการทดสอบ stdlib
ไม่ได้ตั้งใจ - ตรวจจับการแปลงประเภทซ้ำซ้อน
Unparam - ค้นหาพารามิเตอร์ฟังก์ชันที่ไม่ได้ใช้
VARCHECK - ค้นหาตัวแปรและค่าคงที่ทั่วโลกที่ไม่ได้ใช้
WSL - บังคับใช้เส้นเปล่าในสถานที่ที่เหมาะสม

ร่อง

CODENARC - เครื่องมือการวิเคราะห์แบบคงที่สำหรับซอร์สโค้ด groovy ช่วยให้การตรวจสอบและการบังคับใช้มาตรฐานการเข้ารหัสและแนวทางปฏิบัติที่ดีที่สุด

Haskell

บริตตานี - รูปแบบซอร์สโค้ด Haskell
HLINT - HLINT เป็นเครื่องมือในการแนะนำการปรับปรุงที่เป็นไปได้กับรหัส Haskell
STAN-Stan เป็นเครื่องมือบรรทัดคำสั่งสำหรับการวิเคราะห์โครงการ Haskell และส่งออกช่องโหว่ที่ค้นพบในวิธีที่เป็นประโยชน์ด้วยวิธีแก้ปัญหาที่เป็นไปได้สำหรับปัญหาที่ตรวจพบ
Weeder - เครื่องมือในการตรวจจับการส่งออกที่ตายแล้วหรือนำเข้าแพ็คเกจในรหัส Haskell

Haxe

Haxe CheckStyle - เครื่องมือการวิเคราะห์แบบคงที่เพื่อช่วยให้นักพัฒนาเขียนโค้ด haxe ที่ปฏิบัติตามมาตรฐานการเข้ารหัส

ชวา

Checker Framework-การตรวจสอบประเภทที่สามารถทำได้สำหรับ Java
CheckStyle - การตรวจสอบซอร์สโค้ด Java สำหรับการปฏิบัติตามมาตรฐานรหัสหรือชุดของกฎการตรวจสอบความถูกต้อง (แนวทางปฏิบัติที่ดีที่สุด)
CK-คำนวณตัวชี้วัดที่มุ่งเน้นวัตถุ Chidamber และ Kemerer โดยการประมวลผลไฟล์ Java ต้นทาง
CKJM-คำนวณตัวชี้วัดที่มุ่งเน้นวัตถุ Chidamber และ Kemerer โดยการประมวลผลไบต์ของไฟล์ Java ที่รวบรวม
Cognicrypt - ตรวจสอบแหล่งที่มาของ Java และรหัสไบต์สำหรับการใช้งานที่ไม่ถูกต้องของ APIs cryptographic
DesigniteJava ©️ - DesigniteJava รองรับการตรวจจับสถาปัตยกรรมการออกแบบและการใช้งานที่หลากหลายพร้อมกับการคำนวณตัวชี้วัดคุณภาพรหัสต่างๆ
Doop - Doop เป็นกรอบการประกาศสำหรับการวิเคราะห์แบบคงที่ของโปรแกรม Java/Android โดยมีศูนย์กลางอยู่ที่อัลกอริทึมการวิเคราะห์ตัวชี้ Doop ให้การวิเคราะห์ที่หลากหลายและการนั่งร้านโดยรอบเพื่อดำเนินการวิเคราะห์แบบ end-to-end (การสร้างข้อเท็จจริงการประมวลผลสถิติ ฯลฯ )
ข้อผิดพลาด-ง่าย-จับข้อผิดพลาด Java ทั่วไปเป็นข้อผิดพลาดในการรวบรวมเวลา
FB-Contrib-ปลั๊กอินสำหรับ FindBugs ที่มีเครื่องตรวจจับข้อผิดพลาดเพิ่มเติม
Forbidden-APIS-ตรวจจับและห้ามการเรียกใช้วิธีการเฉพาะ/คลาส/ฟิลด์ (เช่นการอ่านจากสตรีมข้อความโดยไม่มีชุดถ่าน) Maven/Gradle/Ant เข้ากันได้
Google-Java-Format-Google Style Format
นักล่า - Bytecode เครื่องมือวิเคราะห์แบบคงที่ตามเครื่องมือคอมไพเลอร์ Procyon มีวัตถุประสงค์เพื่อแทนที่ findbugs
Intellij Idea ©️ - มาพร้อมกับการตรวจสอบมากมายสำหรับ Java และ Kotlin และรวมถึงเครื่องมือสำหรับการปรับแต่งการจัดรูปแบบและอื่น ๆ
jarchitect ©️ - วัดสอบถามและมองเห็นรหัสของคุณและหลีกเลี่ยงปัญหาที่ไม่คาดคิดหนี้ทางเทคนิคและความซับซ้อน
JBMC-Checker รุ่นที่มีขอบเขตสำหรับ Java (bytecode), ตรวจสอบการยืนยันที่ผู้ใช้กำหนด, การยืนยันมาตรฐาน, การวิเคราะห์ตัวชี้วัดความครอบคลุมหลายประการ
Nullaway-ตัวตรวจสอบตัวชี้ null-based ที่มีค่าใช้จ่ายในการสร้างเวลาต่ำ ปลั๊กอินข้อผิดพลาด
การตรวจสอบการพึ่งพาของ OWASP - ตรวจสอบการพึ่งพาการอ้างอิงที่รู้จักเปิดเผยต่อสาธารณะช่องโหว่
QULICE-รวมเครื่องมือการวิเคราะห์แบบคงที่ (กำหนดค่าล่วงหน้า) (CheckStyle, PMD, FindBugs, ... )
Reshift ©️ - เครื่องมือวิเคราะห์ซอร์สโค้ดสำหรับการตรวจจับและจัดการช่องโหว่ความปลอดภัยของ Java
เขม่า - กรอบสำหรับการวิเคราะห์และเปลี่ยนแอพพลิเคชั่น Java และ Android
SPOON - Spoon เป็นห้องสมุด metaprogramming เพื่อวิเคราะห์และแปลงซอร์สโค้ด Java (รวม Java 9, 10, 11, 12, 13, 14) มันแยกวิเคราะห์ไฟล์ต้นฉบับเพื่อสร้าง AST ที่ออกแบบมาอย่างดีด้วยการวิเคราะห์ที่มีประสิทธิภาพและการแปลง API สามารถรวมเข้าด้วยกันใน Maven และ Gradle
SpotBugs - SpotBugs เป็นผู้สืบทอดของ FindBugs เครื่องมือสำหรับการวิเคราะห์แบบคงที่เพื่อค้นหาข้อบกพร่องในรหัส Java
การละเมิด lib - ไลบรารี Java สำหรับการแยกวิเคราะห์ไฟล์รายงานจากการวิเคราะห์รหัสแบบคงที่ ใช้โดยพวงของปลั๊กอินเจนกินส์ Maven และ Gradle

จาวาสคริปต์

อากาศธาตุ - ผ้าสำลี, วิเคราะห์, ปกติ, แปลง, sandbox, เรียกใช้, ขั้นตอนผ่านและแสดงภาพ JavaScript ผู้ใช้ในโหนดหรือเบราว์เซอร์
คอมไพเลอร์ปิด - เครื่องมือคอมไพเลอร์เพื่อเพิ่มประสิทธิภาพลดขนาดและให้คำเตือนรหัสในไฟล์ JavaScript
closurelinter - ตรวจสอบให้แน่ใจว่ารหัส JavaScript ทั้งหมดของโครงการของคุณเป็นไปตามแนวทางในคู่มือสไตล์ Google JavaScript นอกจากนี้ยังสามารถแก้ไขข้อผิดพลาดทั่วไปได้โดยอัตโนมัติ
รายงานความซับซ้อน - การวิเคราะห์ความซับซ้อนของซอฟต์แวร์สำหรับโครงการ JavaScript
DeepScan ©️ - เครื่องวิเคราะห์สำหรับ JavaScript ซึ่งกำหนดเป้าหมายข้อผิดพลาดของรันไทม์และปัญหาคุณภาพมากกว่าการเข้ารหัสการประชุม
ES6-PLATO-แสดงภาพความซับซ้อนของต้นกำเนิด JavaScript (ES6)
Escomplex -การวิเคราะห์ความซับซ้อนของซอฟต์แวร์ของต้นไวยากรณ์นามธรรม JavaScript-Family
ESPRIMA - โครงสร้างพื้นฐานการแยกวิเคราะห์ ECMASCRIPT สำหรับการวิเคราะห์อเนกประสงค์
Flow - หมากฮอสแบบคงที่สำหรับ JavaScript
Hegel - ตัวตรวจสอบชนิดคงที่สำหรับ JavaScript ที่มีอคติเกี่ยวกับการอนุมานประเภทและระบบประเภทที่แข็งแกร่ง
JSHINT - ตรวจจับข้อผิดพลาดและปัญหาที่อาจเกิดขึ้นในรหัส JavaScript และบังคับใช้การประชุมการเข้ารหัสของทีมของคุณ
JSLINT - เครื่องมือคุณภาพรหัส JavaScript
jsprime - เครื่องมือวิเคราะห์ความปลอดภัยแบบคงที่
NodeJSScan - สแกนเนอร์รหัสความปลอดภัยแบบคงที่สำหรับแอปพลิเคชัน Node.js ขับเคลื่อนโดย Libsast และ Semgrep ที่สร้างบนเครื่องมือ NJSScan CLI มันมี UI ที่มีแดชบอร์ดต่าง ๆ เกี่ยวกับสถานะความปลอดภัยของแอปพลิเคชัน
เพลโต - แสดงภาพความซับซ้อนของแหล่งจาวาสคริปต์
Polymer-Analyzer-กรอบการวิเคราะห์แบบคงที่สำหรับส่วนประกอบของเว็บ
Retire.js - สแกนเนอร์ตรวจจับการใช้ไลบรารี JavaScript ที่มีช่องโหว่ที่รู้จัก
RSLINT - JavaScript Linter เขียนด้วยสนิมที่ออกแบบมาให้เร็วที่สุดเท่าที่จะเป็นไปได้ปรับแต่งได้และใช้งานง่าย
มาตรฐาน - โมดูล NPM ที่ตรวจสอบปัญหา JavaScript Styleguide
TERN-เครื่องวิเคราะห์รหัส JavaScript สำหรับการสนับสนุนภาษาที่ลึกและข้าม
TYPL - ด้วย TYPL คุณเพียงแค่เขียน JS มาตรฐานอย่างสมบูรณ์และเครื่องมือระบุประเภทของคุณผ่านการอนุมานที่ทรงพลัง
XO - wrapper eslint ที่มีความคิดเห็น แต่กำหนดค่าได้พร้อมกับสินค้ามากมาย บังคับใช้รหัสที่เข้มงวดและอ่านได้
ปทัฏฐาน - ตัวชี้วัดรหัส JavaScript

จูเลีย

Staticlint - การวิเคราะห์รหัสแบบคงที่สำหรับ Julia

Kotlin

Detekt - การวิเคราะห์รหัสแบบคงที่สำหรับรหัส Kotlin
DIKTAT-มาตรฐานการเข้ารหัสที่เข้มงวดสำหรับ Kotlin และ linter ที่ตรวจจับและมีการแก้ไขรหัสอัตโนมัติ
KTLINT-Kotlin Linter ต่อต้าน bikeshedding ที่มีรูปแบบในตัว

Lua

luacheck - เครื่องมือสำหรับการวิเคราะห์ผ้าสำลีและคงที่ของรหัส LUA
Lualint-Lualint ดำเนินการวิเคราะห์แบบคงที่ LUAC ของการใช้งานตัวแปรทั่วโลกในซอร์สโค้ด LUA
LUANALYSIS - IDE สำหรับการพัฒนา LUA ที่พิมพ์แบบคงที่

matlab

MLINT ©️ - ตรวจสอบไฟล์รหัส MATLAB สำหรับปัญหาที่อาจเกิดขึ้น

ไม่มีความสุข

DRNIM - DRNIM ผสมผสาน Frontend NIM เข้ากับ Z3 Proof Engine เพื่ออนุญาตซอฟต์แวร์ตรวจสอบ / ตรวจสอบความถูกต้องที่เขียนเป็น NIM
NIMFMT - NIM Code Formatter / Linter / Style Checker

Ocaml

SYS - เครื่องมือคงที่/สัญลักษณ์สำหรับการค้นหาข้อบกพร่องในรหัส (เบราว์เซอร์) มันใช้ LLVM AST เพื่อค้นหาข้อบกพร่องเช่นการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดค่า
VERIFAST-เครื่องมือสำหรับการตรวจสอบอย่างเป็นทางการแบบแยกส่วนของคุณสมบัติความถูกต้องของโปรแกรม C และ Multithreaded C และ Java ที่มีคำอธิบายประกอบด้วยเงื่อนไขล่วงหน้าและ postconditions ที่เขียนในตรรกะการแยก เพื่อแสดงข้อกำหนดที่หลากหลายโปรแกรมเมอร์สามารถกำหนดประเภทข้อมูลอุปนัยฟังก์ชั่นบริสุทธิ์แบบเรียกซ้ำแบบดั้งเดิมได้มากกว่าข้อมูลเหล่านี้และการแยกลอจิกแบบแยกส่วน

PHP

CHURN-PHP-ช่วยค้นพบผู้สมัครที่ดีสำหรับการ refactoring
DEPHPEND - เครื่องมือวิเคราะห์การพึ่งพา
Deprecation-Detector-ค้นหาการใช้งานรหัสของรหัสที่เลิกใช้แล้ว (Symfony)
Deptrac - บังคับใช้กฎสำหรับการพึ่งพาระหว่างเลเยอร์ซอฟต์แวร์
DesignPatternDetector - การตรวจจับรูปแบบการออกแบบในรหัส PHP
EasyCodingStandard-รวม PHP_CODESNIFFER และ PHP-CS-Fixer
INLIGHTN - เครื่องมือการวิเคราะห์แบบคงที่และแบบไดนามิกสำหรับแอปพลิเคชัน LARAVEL ที่ให้คำแนะนำเพื่อปรับปรุงประสิทธิภาพความปลอดภัยและความน่าเชื่อถือของรหัสของแอพ Laravel มีการตรวจสอบอัตโนมัติ 120 รายการ
Exakat - เครื่องมือตรวจสอบรหัสอัตโนมัติสำหรับ PHP
GRUMPHP - ตรวจสอบรหัสในการกระทำทุกครั้ง
LARASTAN - เพิ่มการวิเคราะห์แบบคงที่ให้กับ Laravel ปรับปรุงประสิทธิภาพการผลิตและคุณภาพของรหัส มันเป็นเสื้อคลุมรอบ phpstan
มอนเดรียน - ชุดของการวิเคราะห์แบบคงที่และเครื่องมือ refactoring ซึ่งใช้ทฤษฎีกราฟ
NITPICK CI ©️ - รีวิวรหัส PHP อัตโนมัติ
Parallel-Lint-เครื่องมือนี้ตรวจสอบไวยากรณ์ของไฟล์ PHP ได้เร็วกว่าการตรวจสอบอนุกรมด้วยเอาต์พุต fancier
Parse - เครื่องสแกนความปลอดภัยแบบคงที่
PDEPER - คำนวณตัวชี้วัดซอฟต์แวร์เช่นความซับซ้อนแบบ cyclomatic สำหรับรหัส PHP
Phan - เครื่องวิเคราะห์แบบคงที่ทันสมัยจาก Etsy
เครื่องทดสอบสถาปัตยกรรม PHP - เครื่องมือทดสอบสถาปัตยกรรมที่ใช้งานง่ายสำหรับ PHP
สมมติฐาน PHP - ตรวจสอบสมมติฐานที่อ่อนแอ
มาตรฐานการเข้ารหัส PHP-แก้ไขรหัสของคุณตามมาตรฐานเช่น PSR-1, PSR-2 และมาตรฐาน Symfony
PHP Insights - การตรวจสอบคุณภาพ PHP ทันทีจากคอนโซลของคุณ การวิเคราะห์คุณภาพของรหัสและรูปแบบการเข้ารหัสรวมถึงภาพรวมของสถาปัตยกรรมรหัสและความซับซ้อน
การตรวจสอบ PHP (EA Extended) - เครื่องวิเคราะห์รหัสแบบคงที่สำหรับ PHP
เบราว์เซอร์ Refactoring PHP - ผู้ช่วย Refactoring
ตัวตรวจสอบเวอร์ชันความหมายของ PHP - แนะนำเวอร์ชันถัดไปตามเวอร์ชันความหมาย
PHP-PARSER-ตัวแยกวิเคราะห์ PHP ที่เขียนใน PHP
PHP-Speller-ไลบรารีตรวจสอบการสะกด PHP
php-token-reflection - ห้องสมุดเลียนแบบการสะท้อนภายใน PHP
Php7cc - ตัวตรวจสอบความเข้ากันได้ของ PHP 7
PHP7MAR - ช่วยนักพัฒนาซอฟต์แวร์ในการพอร์ตรหัสของพวกเขาอย่างรวดเร็วไปยัง PHP 7
php_codesniffer - ตรวจจับการละเมิดชุดมาตรฐานการเข้ารหัสที่กำหนดไว้
PHPCA -ค้นหาการใช้งานส่วนขยายที่ไม่ได้สร้างขึ้น
PHPCPD - เครื่องตรวจจับคัดลอก/วางสำหรับรหัส PHP
PHPDCD - Dead Code Detector (DCD) สำหรับรหัส PHP
phpdependencyanalysis - สร้างกราฟการพึ่งพาสำหรับโครงการ
PHPDeprecationDetector - ตัววิเคราะห์รหัส PHP เพื่อค้นหาปัญหาที่มีฟังก์ชันการทำงานที่เลิกใช้ในเวอร์ชันล่ามที่ใหม่กว่า พบว่าวัตถุที่ถูกลบ (ฟังก์ชั่นตัวแปรค่าคงที่และการกำกับแบบ INI) ฟังก์ชั่นการทำงานที่เลิกใช้งานและการใช้ชื่อหรือเทคนิคที่ต้องห้าม (เช่นตัวระบุที่สงวนไว้ในรุ่นใหม่)
phpdoc-to-typehint - เพิ่มคำแนะนำประเภทสเกลาร์และประเภทการส่งคืนไปยังโครงการ PHP ที่มีอยู่โดยใช้คำอธิบายประกอบ PHPDOC
PHPDocumentor - วิเคราะห์ซอร์สโค้ด PHP เพื่อสร้างเอกสาร
PHPLOC - เครื่องมือสำหรับการวัดขนาดอย่างรวดเร็วและวิเคราะห์โครงสร้างของโครงการ PHP
PHPMD - ค้นหาข้อบกพร่องที่เป็นไปได้ในรหัสของคุณ
PHPMetrics - คำนวณและแสดงภาพตัวชี้วัดคุณภาพรหัสต่างๆ
PHPMND - ช่วยในการตรวจจับหมายเลขเวทมนตร์
PHPQA - เครื่องมือสำหรับใช้เครื่องมือ QA (PHPLOC, PHPCPD, PHPCS, PDEPER, PHPMD, PHPMetrics)
PHPQA - Jakzal - เครื่องมือมากมายสำหรับการวิเคราะห์แบบคงที่ PHP ในภาชนะเดียว
PHPQA-JMOLIVAS-เครื่องมือ CLI เครื่องวิเคราะห์ All-in-One PHPQA
PHPSA - เครื่องมือการวิเคราะห์แบบคงที่สำหรับ PHP
PHPSTAN - เครื่องมือวิเคราะห์แบบคงที่ PHP - ค้นพบข้อบกพร่องในรหัสของคุณโดยไม่ต้องใช้งาน!
Progpilot - เครื่องมือวิเคราะห์แบบคงที่เพื่อความปลอดภัย
บทเพลงสรรเสริญ - เครื่องมือการวิเคราะห์แบบคงที่สำหรับการค้นหาข้อผิดพลาดประเภทในแอปพลิเคชัน PHP
เครื่องวิเคราะห์คุณภาพ qafoo - แสดงภาพตัวชี้วัดและซอร์สโค้ด
Symfony Insight ©️ - ตรวจจับความเสี่ยงด้านความปลอดภัยค้นหาข้อบกพร่องและให้ตัวชี้วัดที่สามารถดำเนินการได้สำหรับโครงการ PHP
Tuli - เครื่องยนต์วิเคราะห์แบบคงที่
Twig-Lint-Twig-Lint เป็นเครื่องมือผ้าสำลีสำหรับไฟล์ Twig ของคุณ
WAP - เครื่องมือในการตรวจจับและแก้ไขช่องโหว่การตรวจสอบความถูกต้องของอินพุตในเว็บแอปพลิเคชัน PHP (4.0 หรือสูงกว่า) และทำนายผลบวกที่ผิดพลาดโดยการรวมการวิเคราะห์แบบคงที่และการขุดข้อมูล

PL/SQL

ZPA - z PL/SQL Analyzer (ZPA) เป็นตัววิเคราะห์รหัสที่ขยายได้สำหรับ PL/SQL และ Oracle SQL มันสามารถรวมเข้ากับ Sonarqube

Perl

Perl :: Critic-Critique Perl Source เพื่อการปฏิบัติที่ดีที่สุด

งูหลาม

Bandit - เครื่องมือในการค้นหาปัญหาความปลอดภัยทั่วไปในรหัส Python
BELLYBUTTON-เครื่องยนต์ผ้าสำลีที่รองรับกฎเฉพาะโครงการที่กำหนดเอง
สีดำ - รูปแบบรหัสงูหลามที่ไม่ยอมแพ้
BOWLER - การปรับเปลี่ยนรหัสที่ปลอดภัยสำหรับงูหลามสมัยใหม่ Bowler เป็นเครื่องมือ refactoring สำหรับการจัดการ Python ที่ระดับต้นไม้ไวยากรณ์ ช่วยให้การปรับเปลี่ยนรหัสขนาดใหญ่ปลอดภัยในขณะที่รับประกันว่ารหัสผลลัพธ์จะรวบรวมและเรียกใช้ มันมีทั้งอินเทอร์เฟซบรรทัดคำสั่งง่าย ๆ และ API ที่คล่องแคล่วใน Python สำหรับการสร้างการปรับเปลี่ยนรหัสที่ซับซ้อนในรหัส
CioCheck - Linter, Formatter และ Test Suite Helper ในฐานะที่เป็น linter มันเป็นเสื้อคลุมรอบ pep8 , pydocstyle , flake8 และ pylint
การทำงานร่วมกัน - เครื่องมือสำหรับการวัดการทำงานร่วมกันของ Python Class
DLINT - เครื่องมือในการรับรองรหัส Python นั้นปลอดภัย
Fixit-กรอบการทำงานสำหรับการสร้างกฎผ้าสำลีและการแก้ไขอัตโนมัติที่สอดคล้องกันสำหรับซอร์สโค้ด
Flake8 - เสื้อคลุมรอบ pyflakes , pycodestyle และ mccabe
ผู้ตรวจการ - It, Inspector Tiger เป็นเครื่องมือตรวจสอบรหัส Python ที่ทันสมัย / เฟรมเวิร์ก มันมาพร้อมกับตัวจัดการที่กำหนดไว้ล่วงหน้าซึ่งเตือนคุณเกี่ยวกับการปรับปรุงและข้อบกพร่องที่เป็นไปได้ นอกเหนือจากตัวจัดการเหล่านี้คุณสามารถเขียนของคุณเองหรือใช้ชุมชนของคุณเอง
Jedi - ไลบรารีการวิเคราะห์แบบอัตโนมัติ/การวิเคราะห์แบบคงที่สำหรับ Python
Linty Fresh - Parse Clots ผิดพลาดและรายงานไปยัง GitHub เป็นความคิดเห็นเกี่ยวกับคำขอดึง
McCabe - ตรวจสอบความซับซ้อนของ McCabe
Multilint - เสื้อคลุมรอบ flake8 , isort และ modernize
MYPY - หมากฮอสแบบคงที่ที่มีจุดมุ่งหมายเพื่อรวมประโยชน์ของการพิมพ์เป็ดและการพิมพ์แบบคงที่ใช้บ่อยกับ MonkeyType
Prospector - เสื้อคลุมรอบ ๆ pylint , pep8 , mccabe และอื่น ๆ
การฉีด py-find - ค้นหาช่องโหว่การฉีด SQL ในรหัส Python
Pyanalyze - เครื่องมือสำหรับการตรวจจับความผิดพลาดทั่วไปในรหัส Python เช่นการอ้างอิงถึงตัวแปรที่ไม่ได้กำหนดและผิดพลาด สามารถขยายได้เพื่อเพิ่มกฎเพิ่มเติมและดำเนินการตรวจสอบเฉพาะกับฟังก์ชั่นเฉพาะ
Pycodequal ©️ - Pycodequal ให้ข้อมูลเชิงลึกเกี่ยวกับความซับซ้อนและความเสี่ยงของข้อผิดพลาด มันเพิ่มความคิดเห็นอัตโนมัติในคำขอดึงของคุณ
Pycodestyle - (เดิมคือ pep8 ) ตรวจสอบรหัส Python กับการประชุมสไตล์บางอย่างใน PEP 8
PYDOCSTYLE - ตรวจสอบการปฏิบัติตามข้อกำหนดของ Python DocString
Pyflakes - ตรวจสอบไฟล์ต้นฉบับ Python สำหรับข้อผิดพลาด
PYLINT - มองหาข้อผิดพลาดในการเขียนโปรแกรมช่วยบังคับใช้มาตรฐานการเข้ารหัสและการดมกลิ่นสำหรับกลิ่นบางอย่าง นอกจากนี้ยังรวมถึง pyreverse (เครื่องกำเนิดไดอะแกรม UML) และ symilar (ตัวตรวจสอบความคล้ายคลึงกัน)
Pyre-check-ตัวตรวจสอบประเภทที่รวดเร็วและปรับขนาดได้สำหรับรหัสฐาน Python ขนาดใหญ่
Pyright - Checker ประเภทคงที่สำหรับ Python ที่สร้างขึ้นเพื่อที่อยู่ช่องว่างในเครื่องมือที่มีอยู่เช่น MyPy
PYROMA - ให้คะแนนว่าโครงการ Python เป็นไปตามแนวทางปฏิบัติที่ดีที่สุดของระบบนิเวศบรรจุภัณฑ์ Python และปัญหารายการที่สามารถปรับปรุงได้
PYSA-เครื่องมือที่ใช้การตรวจสอบแบบ pyre ของ Facebook เพื่อระบุปัญหาความปลอดภัยที่อาจเกิดขึ้นในรหัส Python ที่ระบุด้วยการวิเคราะห์ Taint
Pyt - Python Taint - เครื่องมือวิเคราะห์แบบคงที่สำหรับการตรวจจับช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันเว็บ Python
Pytype - เครื่องวิเคราะห์ประเภทคงที่สำหรับรหัส Python
QuantifiedCode - การตรวจสอบรหัสอัตโนมัติและการซ่อมแซม ช่วยให้คุณติดตามปัญหาและตัวชี้วัดในโครงการซอฟต์แวร์ของคุณและสามารถขยายได้อย่างง่ายดายเพื่อรองรับการวิเคราะห์รูปแบบใหม่
เรดอน - เครื่องมือ Python ที่คำนวณตัวชี้วัดต่าง ๆ จากซอร์สโค้ด
unimport — A linter, formatter for finding and removing unused import statements.
vulture — Find unused classes, functions and variables in Python code.
wemake-python-styleguide — The strictest and most opinionated python linter ever.
wily — A command-line tool for archiving, exploring and graphing the complexity of Python source code.
xenon — Monitor code complexity using radon .

R

cyclocomp — Quantifies the cyclomatic complexity of R functions / expressions.
goodpractice — Analyses the source code for R packages and provides best-practice recommendations.
lintr — Static Code Analysis for R.
styler — Formatting of R source code files and pretty-printing of R code.

ทับทิม

brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.
bundler-audit — Audit Gemfile.lock for gems with security vulnerabilities reported in Ruby Advisory Database.
อ้อย — Code quality threshold checking as part of your build.
dawnscanner — A static analysis security scanner for ruby written web applications. It supports Sinatra, Padrino and Ruby on Rails frameworks.
ERB Lint — Lint your ERB or HTML files
Fasterer — Common Ruby idioms checker.
flay — Flay analyzes code for structural similarities.
flog — Flog reports the most tortured code in an easy to read pain report. The higher the score, the more pain the code is in.
Fukuzatsu — A tool for measuring code complexity in Ruby class files. Its analysis generates scores based on cyclomatic complexity algorithms with no added "opinions".
เลเซอร์ — Static analysis and style linter for Ruby code.
pelusa — Static analysis Lint-type tool to improve your OO Ruby code.
คุณภาพ — Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.
Querly — Pattern Based Checking Tool for Ruby.
Railroader — An open source static analysis security vulnerability scanner for Ruby on Rails applications.
rails_best_practices — A code metric tool for Rails projects
reek — Code smell detector for Ruby.
RuboCop — A Ruby static code analyzer, based on the community Ruby style guide.
Rubrowser — Ruby classes interactive dependency graph generator.
ruby-lint — Static code analysis for Ruby.
rubycritic — A Ruby code quality reporter.
rufo — An opinionated ruby formatter, intended to be used via the command line as a text-editor plugin, to autoformat files on save or on demand.
Saikuro — A Ruby cyclomatic complexity analyzer.
SandiMeter — Static analysis tool for checking Ruby code for Sandi Metz' rules.
Sorbet — A fast, powerful type checker designed for Ruby.
Standard Ruby — Ruby Style Guide, with linter & automatic code fixer
Steep — Gradual Typing for Ruby.

สนิม

C2Rust — C2Rust helps you migrate C99-compliant code to Rust. The translator (or transpiler) produces unsafe Rust code that closely mirrors the input C code.
cargo udeps — Find unused dependencies in Cargo.toml. It either prints out a "unused crates" line listing the crates, or it prints out a line saying that no crates were unused.
cargo-audit — Audit Cargo.lock for crates with security vulnerabilities reported to the RustSec Advisory Database.
cargo-bloat — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.
cargo-deny — A cargo plugin for linting your dependencies. It can be used either as a command line too, a Rust crate, or a Github action for CI. It checks for valid license information, duplicate crates, security vulnerabilities, and more.
cargo-expand — Cargo subcommand to show result of macro expansion and #[derive] expansion applied to the current crate. This is a wrapper around a more verbose compiler command.
cargo-inspect — Inspect Rust code without syntactic sugar to see what the compiler does behind the curtains.
cargo-spellcheck — Checks all your documentation for spelling and grammar mistakes with hunspell (ready) and languagetool (preview)
clippy — A code linter to catch common mistakes and improve your Rust code.
dylint — A tool for running Rust lints from dynamic libraries. Dylint makes it easy for developers to maintain their own personal lint collections.
electrolysis — A tool for formally verifying Rust programs by transpiling them into definitions in the Lean theorem prover.
herbie — Adds warnings or errors to your crate when using a numerically unstable floating point expression.
linter-rust — Linting your Rust-files in Atom, using rustc and cargo.
MIRAI — And abstract interpreter operating on Rust's mid-level intermediate language, and providing warnings based on taint analysis.
prae — Provides a convenient macro that allows you to generate type wrappers that promise to always uphold arbitrary invariants that you specified.
Prusti — A static verifier for Rust, based on the Viper verification infrastructure. By default Prusti verifies absence of panics by proving that statements such as unreachable!() and panic!() are unreachable.
Rudra ©️ — Rust Memory Safety & Undefined Behavior Detection. It is capable of analyzing single Rust packages as well as all the packages on crates.io.
Rust Language Server — Supports functionality such as 'goto definition', symbol search, reformatting, and code completion, and enables renaming and refactorings.
rust-analyzer — Supports functionality such as 'goto definition', type inference, symbol search, reformatting, and code completion, and enables renaming and refactorings.
rust-audit — Audit Rust binaries for known bugs or security vulnerabilities. This works by embedding data about the dependency tree (Cargo.lock) in JSON format into a dedicated linker section of the compiled executable.
rustfix — Read and apply the suggestions made by rustc (and third-party lints, like those offered by clippy).
rustfmt — A tool for formatting Rust code according to style guidelines.
RustViz — RustViz is a tool that generates visualizations from simple Rust programs to assist users in better understanding the Rust Lifetime and Borrowing mechanism. It generates SVG files with graphical indicators that integrate with mdbook to render visualizations of data-flow in Rust programs.
warnalyzer — Show unused code from multi-crate Rust projects

SQL

dbcritic — dbcritic finds problems in a database schema, such as a missing primary key constraint in a table.
sqlcheck — Automatically identify anti-patterns in SQL queries.
SQLFluff — Multiple dialect SQL linter and formatter.
sqlint — Simple SQL linter.
squawk — Linter for PostgreSQL, focused on migrations. Prevents unexpected downtime caused by database migrations and encourages best practices around Postgres schemas and SQL.
tsqllint — T-SQL-specific linter.
TSqlRules — TSQL Static Code Analysis Rules for SQL Server.
Visual Expert ©️ — Code analysis for PowerBuilder, Oracle, and SQL Server Explores, analyzes, and documents Code

สกาล่า

linter — Linter is a Scala static analysis compiler plugin which adds compile-time checks for various possible bugs, inefficiencies, and style problems.
Scalastyle — Scalastyle examines your Scala code and indicates potential problems with it.
scapegoat — Scala compiler plugin for static code analysis.
WartRemover — A flexible Scala code linting tool.

เปลือก

bashate — Code style enforcement for bash programs. The output format aims to follow pycodestyle (pep8) default output format.
i-Code CNES for Shell — An open source static code analysis tool for Shell and Fortran (77 and 90).
kmdr — CLI tool for learning commands from your terminal. kmdr delivers a break down of commands with every attribute explained.
sh — A shell parser, formatter, and interpreter with bash support; includes shfmt
shellcheck — ShellCheck, a static analysis tool that gives warnings and suggestions for bash/sh shell scripts.
shellharden — A syntax highlighter and a tool to semi-automate the rewriting of scripts to ShellCheck conformance, mainly focused on quoting.

Swift

SwiftFormat — A library and command-line formatting tool for reformatting Swift code.
SwiftLint — A tool to enforce Swift style and conventions.
Tailor — A static analysis and lint tool for source code written in Apple's Swift programming language.

Tcl

Frink — A Tcl formatting and static check program (can prettify the program, minimise, obfuscate or just sanity check it).
Nagelfar — A static syntax checker for Tcl.
tclchecker — A static syntax analysis module (as part of TDK).

ตัวพิมพ์ใหญ่

Angular ESLint — Linter for Angular projects
Codelyzer — A set of tslint rules for static code analysis of Angular 2 TypeScript projects.
tslint-clean-code — A set of TSLint rules inspired by the Clean Code handbook.
tslint-microsoft-contrib — A set of tslint rules for static code analysis of TypeScript projects maintained by Microsoft.
TypeScript Call Graph — CLI to generate an interactive graph of functions and calls from your TypeScript files
TypeScript ESLint — TypeScript language extension for eslint.

VBScript

Test Design Studio ©️ — A full IDE with static code analysis for Micro Focus Unified Functional Testing VBScript-based automated tests.

Verilog/SystemVerilog

Icarus Verilog — A Verilog simulation and synthesis tool that operates by compiling source code written in IEEE-1364 Verilog into some target format
svls — A Language Server Protocol implementation for Verilog and SystemVerilog, including lint capabilities.
verible-linter-action — Automatic SystemVerilog linting in github actions with the help of Verible Used to lint Verilog and SystemVerilog source files and comment erroneous lines of code in Pull Requests automatically.
Verilator — A tool which converts Verilog to a cycle-accurate behavioral model in C++ or SystemC. Performs lint code-quality checks.
vscode-verilog-hdl-support — Verilog HDL/SystemVerilog/Bluespec SystemVerilog support for VS Code. Provides syntax highlighting and Linting support from Icarus Verilog, Vivado Logical Simulation, Modelsim and Verilator

Vim Script

vint — Fast and Highly Extensible Vim script Language Lint implemented by Python.

Multiple languages

ale — Asynchronous Lint Engine for Vim and NeoVim with support for many languages.
Android Studio — Based on IntelliJ IDEA, and comes bundled with tools for Android including Android Lint.
AppChecker ©️ — Static analysis for C/C++/C#, PHP and Java.
Application Inspector ©️ — Commercial Static Code Analysis which generates exploits to verify vulnerabilities.
ApplicationInspector — Creates reports of over 400 rule patterns for feature detection (eg the use of cryptography or version control in apps).
APPscreener ©️ — Static code analysis for binary and source code - Java/Scala, PHP, Javascript, C#, PL/SQL, Python, T-SQL, C/C++, ObjectiveC/Swift, Visual Basic 6.0, Ruby, Delphi, ABAP, HTML5 and Solidity.
ArchUnit — Unit test your Java or Kotlin architecture.
Atom-Beautify — Beautify HTML, CSS, JavaScript, PHP, Python, Ruby, Java, C, C++, C#, Objective-C, CoffeeScript, TypeScript, Coldfusion, SQL, and more in Atom editor.
Axivion Bauhaus Suite ©️ — Tracks down error-prone code locations, style violations, cloned or dead code, cyclic dependencies and more for C/C++, C#/.NET, Java and Ada 83/Ada 95.
Better Code Hub ©️ — Better Code Hub checks your GitHub codebase against 10 engineering guidelines devised by the authority in software quality, Software Improvement Group.
CAST Highlight ©️ — Commercial Static Code Analysis which runs locally, but uploads the results to its cloud for presentation.
Checkmarx CxSAST ©️ — Commercial Static Code Analysis which doesn't require pre-compilation.
ClassGraph — A classpath and module path scanner for querying or visualizing class metadata or class relatedness.
Clayton ©️ — AI-powered code reviews for Salesforce. Secure your developments, enforce best practice and control your technical debt in real-time.
coala — Language independent framework for creating code analysis - supports over 60 languages by default.
Cobra ©️ — Structural source code analyzer by NASA's Jet Propulsion Laboratory.
Codacy ©️ — Code Analysis to ship Better Code, Faster.
Code Intelligence ©️ — CI/CD-agnostic DevSecOps platform which combines industry-leading fuzzing engines for finding bugs and visualizing code coverage
Codeac ©️ — Automated code review tool integrates with GitHub, Bitbucket and GitLab (even self-hosted). Available for JavaScript, TypeScript, Python, Ruby, Go, PHP, Java, Docker, and more. (open-source free)
codeburner — Provides a unified interface to sort and act on the issues it finds.
codechecker — A defect database and viewer extension for the Clang Static Analyzer with web GUI.
CodeFactor ©️ — Automated Code Analysis for repos on GitHub or BitBucket.
CodeFlow ©️ — Automated code analysis tool to deal with technical depth. Integrates with Bitbucket and Gitlab. (free for Open Source Projects)
CodeIt.Right ©️ — CodeIt.Right™ provides a fast, automated way to ensure that your source code adheres to (your) predefined design and style guidelines as well as best coding practices.
CodePatrol ©️ — Automated SAST code reviews driven by security, supports 15+ languages and includes security training.
codeql — Deep code analysis - semantic queries and dataflow for several languages with VSCode plugin support.
Coderrect ©️ — Advanced static analyzer for multi-threaded software. Supports OpenMP, Pthreads, std::thread, and GPU/CUDA.
CodeRush ©️ — Code creation, debugging, navigation, refactoring, analysis and visualization tools that use the Roslyn engine in Visual Studio 2015 and up.
CodeScan ©️ — Code Quality and Security for Salesforce Developers. Made exclusively for the Salesforce platform, CodeScan's code analysis solutions provide you with total visibility into your code health.
CodeScene ©️ — CodeScene is a quality visualization tool for software. Prioritize technical debt, detect delivery risks, and measure organizational aspects. Fully automated.
CodeSonar from GrammaTech ©️ — Advanced, whole program, deep path, static analysis of C, C++, Java and C# with easy-to-understand explanations and code and path visualization.
Codiga ©️ — Automated Code Reviews and Technical Debt management platform that supports 12+ languages.
Corrode — Semi-automatic translation from C to Rust. Could reveal bugs in the original implementation by showing Rust compiler warnings and errors. Superseded by C2Rust.
Coverity ©️ — Synopsys Coverity supports 20 languages and over 70 frameworks including Ruby on rails, Scala, PHP, Python, JavaScript, TypeScript, Java, Fortran, C, C++, C#, VB.NET.
cqc — Check your code quality for js, jsx, vue, css, less, scss, sass and styl files.
DeepCode ©️ — DeepCode finds bugs, security vulnerabilities, performance and API issues based on AI. DeepCode's speed of analysis allow us to analyse your code in real time and deliver results when you hit the save button in your IDE. Supported languages are Java, C/C++, JavaScript, Python, and TypeScript. Integrations with GitHub, BitBucket and Gitlab.
DeepSource ©️ — In-depth static analysis to find issues in verticals of bug risks, security, anti-patterns, performance, documentation and style. Native integrations with GitHub, GitLab and Bitbucket. Less than 5% false positives.
Depends — Analyses the comprehensive dependencies of code elements for Java, C/C++, Ruby.
DevSkim — Regex-based static analysis tool for Visual Studio, VS Code, and Sublime Text - C/C++, C#, PHP, ASP, Python, Ruby, Java, and others.
Embold ©️ — Intelligent software analytics platform that identifies design issues, code issues, duplication and metrics. Supports Java, C, C++, C#, JavaScript, TypeScript, Python, Go, Kotlin and more.
ESLint — An extensible linter for JS, following the ECMAScript standard.
Find Security Bugs — The SpotBugs plugin for security audits of Java web applications and Android applications. (Also work with Kotlin, Groovy and Scala projects)
Fortify ©️ — A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python (2.6, 2.7), Ruby (1.9.3), Swift, Scala, VB, and XML.
Goodcheck — Regexp based customizable linter.
goone — Finds N+1 queries (SQL calls in a for loop) in go code
graudit — Grep rough audit - source code auditing tool.
HCL AppScan Source ©️ — Commercial Static Code Analysis.
เครื่องกระโดด — A static analysis tool written in scala for languages that run on JVM.
Hound CI — Comments on style violations in GitHub pull requests. Supports Coffeescript, Go, HAML, JavaScript, Ruby, SCSS and Swift.
imhotep — Comment on commits coming into your repository and check for syntactic errors and general lint warnings.
include-gardener — A multi-language static analyzer for C/C++/Obj-C/Python/Ruby to create a graph (in dot or graphml format) which shows all #include relations of a given set of files.
Infer — A static analyzer for Java, C and Objective-C
InsiderSec — A open source Static Application Security Testing tool (SAST) written in GoLang for Java (Maven and Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# and Javascript (Node.js).
Kiuwan ©️ — Identify and remediate cyber threats in a blazingly fast, collaborative environment, with seamless integration in your SDLC. Python, CC++, Java, C#, PHP and more.
Klocwork ©️ — Quality and Security Static analysis for C/C++, Java and C#.
LGTM ©️ — Find security vulnerabilities, variants, and critical code quality issues using queries over source code. Automatic PR code review; free for open source. Formerly semmle.
LGTM.com ©️ — Deep code analysis for GitHub and Bitbucket to find security vulnerabilities and critical code quality issues (using Semmle QL). Automatic code review for pull requests; free for public repositories.
lizard — Lizard is an extensible Cyclomatic Complexity Analyzer for many programming languages including C/C++ (doesn't require all the header files or Java imports). It also does copy-paste detection (code clone detection/code duplicate detection) and many other forms of static code analysis. Counts lines of code without comments, CCN (cyclomatic complexity number), token count of functions, parameter count of functions.
Mega-Linter — Mega-Linter can handle any type of project thanks to its 70+ embedded Linters, its advanced reporting, runnable on any CI system or locally, with assisted installation and configuration, able to apply formatting and fixes
oclint — A static source code analysis tool to improve quality and reduce defects for C, C++ and Objective-C.
ocular ©️ — Enables code auditors and security teams to interactively investigate their unique code bases to find business logic flaws and technical vulnerabilities that traditional SASTs cannot. This is done by enabling the analyst to write their own custom queries. Can find hard-coded secrets, authentication issues, and malicious code like rootkits and backdoors.
Offensive 360 ©️ — Commercial Static Code Analysis system doesn't require building the source code or pre-compilation.
parasoft ©️ — Automated Software Testing Solutions for unit-, API-, and web UI testing. Complies with MISRA, OWASP, and others.
pfff — Facebook's tools for code analysis, visualizations, or style-preserving source transformation for many languages.
PMD — A source code analyzer for Java, Salesforce Apex, Javascript, PLSQL, XML, XSL and others.
pre-commit — A framework for managing and maintaining multi-language pre-commit hooks.
Prettier — An opinionated code formatter.
Pronto — Quick automated code review of your changes. Supports more than 40 runners for various languages, including Clang, Elixir, JavaScript, PHP, Ruby and more.
PT.PM — An engine for searching patterns in the source code, based on Unified AST or UST. At present time C#, Java, PHP, PL/SQL, T-SQL, and JavaScript are supported. Patterns can be described within the code or using a DSL.
PVS-Studio ©️ — A (conditionally free for FOSS and individual developers) static analysis of C, C++, C# and Java code. For advertising purposes you can propose a large FOSS project for analysis by PVS employees. Supports CWE mapping, MISRA and CERT coding standards.
pylama — Code audit tool for Python and JavaScript. Wraps pycodestyle, pydocstyle, PyFlakes, Mccabe, Pylint, and more
Refactoring Essentials — The free Visual Studio 2015 extension for C# and VB.NET refactorings, including code best practice analyzers.
relint — A static file linter that allows you to write custom rules using regular expressions (RegEx).
ReSharper ©️ — Extends Visual Studio with on-the-fly code inspections for C#, VB.NET, ASP.NET, JavaScript, TypeScript and other technologies.
RIPS ©️ — A static source code analyser for vulnerabilities in PHP scripts.
Rome — Rome is a linter, compiler, bundler, and more for JavaScript, TypeScript, JSON, HTML, Markdown, and CSS.
Roslyn Analyzers — Roslyn-based implementation of FxCop analyzers.
Roslyn Security Guard — Project that focuses on the identification of potential vulnerabilities such as SQL injection, cross-site scripting (XSS), CSRF, cryptography weaknesses, hardcoded passwords and many more.
Scanmycode CE (Community Edition) — Scanmycode - Code Scanning/SAST/Linting using many tools/Scanners with One Report
Scrutinizer ©️ — A proprietary code quality checker that can be integrated with GitHub.
Security Code Scan — Security code analyzer for C# and VB.NET. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc. Integrates into Visual Studio 2015 and newer. Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.
Semgrep — A fast, open-source, static analysis tool for finding bugs and enforcing code standards at editor, commit, and CI time. Its rules look like the code you already write; no abstract syntax trees or regex wrestling. Supports 17+ languages.
ShiftLeft ©️ — Identify vulnerabilities that are unique to your code base before they reach production. Leverages the Code Property Graph (CPG) to run its analyses concurrently in a single graph of graphs. Automatically finds business logic flaws in dev like hardcoded secrets and logic bombs
ShiftLeft Scan — Scan is a free open-source DevSecOps platform for detecting security issues in source code and dependencies. It supports a broad range of languages and CI/CD pipelines.
เรียบร้อย — Static program analysis platform that allows custom analyzers to plug in through a common interface.
Sider ©️ — An automated code reviewing tool. Improving developers' productivity.
Similarity Tester — A tool that finds similarities between or within files to support you encountering DRY principle violations.
Snyk ©️ — Vulnerability scanner for dependencies of node.js apps (free for Open Source Projects).
SonarCloud ©️ — Multi-language cloud-based static code analysis. History, trends, security hot-spots, pull request analysis and more. Free for open source.
SonarLint for Visual Studio — SonarLint is an extension for Visual Studio 2015 and 2017 that provides on-the-fly feedback to developers on new bugs and quality issues injected into .NET code.
SonarQube — SonarQube is an open platform to manage code quality.
Sonatype ©️ — Reports known vulnerabilities in common dependencies and recommends updated packages to minimize breaking changes
Soto Platform ©️ — Suite of static analysis tools consisting of the three components Sotoarc (Architecture Analysis), Sotograph (Quality Analysis), and Sotoreport (Quality report). Helps find differences between architecture and implementation, interface violations (eg external access of private parts of subsystems, detection of all classes, files, packages and subsystems which are strongly coupled by cyclical relationships and more. The Sotograph product family runs on Windows and Linux.
SourceMeter ©️ — Static Code Analysis for C/C++, Java, C#, Python, and RPG III and RPG IV versions (including free-form).
sqlvet — Performs static analysis on raw SQL queries in your Go code base to surface potential runtime errors. It checks for SQL syntax error, identifies unsafe queries that could potentially lead to SQL injections makes sure column count matches value count in INSERT statements and validates table- and column names.
Super-Linter — Combination of multiple linters to install as a GitHub Action.
Synopsys ©️ — A commercial static analysis platform that allows for scanning of multiple languages (C/C++, Android, C#, Java, JS, PHP, Python, Node.JS, Ruby, Fortran, and Swift).
Teamscale ©️ — Static and dynamic analysis tool supporting more than 25 languages and direct IDE integration. Free hosting for Open Source projects available on request. Free academic licenses available.
todocheck — Linter for integrating annotated TODOs with your issue trackers
trivy — A Simple and Comprehensive Vulnerability Scanner for Containers and other Artifacts, Suitable for CI. Trivy detects vulnerabilities of OS packages (Alpine, RHEL, CentOS, etc.) and application dependencies (Bundler, Composer, npm, yarn, etc.). Checks containers and filesystems.
trunk ©️ — Modern repositories include many technologies, each with its own set of linters. With 30+ linters and counting, Trunk makes it dead-simple to identify, install, configure, and run the right linters, static analyzers, and formatters for all your repos.
TscanCode — A fast and accurate static analysis solution for C/C++, C#, Lua codes provided by Tencent. Using GPLv3 license.
Undebt — Language-independent tool for massive, automatic, programmable refactoring based on simple pattern definitions.
Understand ©️ — Code visualization tool that provides code analysis, standards testing, metrics, graphing, dependency analysis and more for Ada, VHDL, and others.
Unibeautify — Universal code beautifier with a GitHub app. Supports HTML, CSS, JavaScript, TypeScript, JSX, Vue, C++, Go, Objective-C, Java, Python, PHP, GraphQL, Markdown, and more.
Upsource ©️ — Code review tool with static code analysis and code-aware navigation for Java, PHP, JavaScript and Kotlin.
Veracode ©️ — Find flaws in binaries and bytecode without requiring source. Support all major programming languages: Java, .NET, JavaScript, Swift, Objective-C, C, C++ and more.
Viezly ©️ — Code review tool with dependency diagrams. Improve your team's code reviews with better navigation and code analysis
WALA — Static analysis capabilities for Java bytecode and related languages and for JavaScript.
weggli — A fast and robust semantic search tool for C and C++ codebases. It is designed to help security researchers identify interesting functionality in large codebases.
WhiteHat Application Security Platform ©️ — WhiteHat Scout (for Developers) combined with WhiteHat Sentinel Source (for Operations) supporting WhiteHat Top 40 and OWASP Top 10.
Wotan — Pluggable TypeScript and JavaScript linter.
XCode ©️ — XCode provides a pretty decent UI for Clang's static code analyzer (C/C++, Obj-C).
?Putout — Pluggable and configurable code transformer with built-in eslint, babel plugins support for js, jsx typescript, flow, markdown, yaml and json.

อื่น

เชิงมุม

Angular ESLint — Linter for Angular projects

Ansible

kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible

Azure Resource Manager

AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.

Binaries

angr — Binary code analysis tool that also supports symbolic execution.
binbloom — Analyzes a raw binary firmware and determines features like endianness or the loading address. The tool is compatible with all architectures. Loading address: binbloom can parse a raw binary firmware and determine its loading address. Endianness: binbloom can use heuristics to determine the endianness of a firmware. UDS Database: binbloom can parse a raw binary firmware and check if it contains an array containing UDS command IDs.
BinSkim — A binary static analysis tool that provides security and correctness results for Windows portable executables.
Black Duck ©️ — Tool to analyze source code and binaries for reusable code, necessary licenses and potential security aspects.
bloaty — Ever wondered what's making your binary big? Bloaty McBloatface will show you a size profile of the binary so you can understand what's taking up space inside. Bloaty performs a deep analysis of the binary. Using custom ELF, DWARF, and Mach-O parsers, Bloaty aims to accurately attribute every byte of the binary to the symbol or compileunit that produced it. It will even disassemble the binary looking for references to anonymous data. f
cargo-bloat — Find out what takes most of the space in your executable. supports ELF (Linux, BSD), Mach-O (macOS) and PE (Windows) binaries.
cwe_checker — cwe_checker finds vulnerable patterns in binary executables.
Ghidra — A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission
IDA Free ©️ — Binary code analysis tool.
Jakstab — Jakstab is an Abstract Interpretation-based, integrated disassembly and static analysis framework for designing analyses on executables and recovering reliable control flow graphs.
JEB Decompiler ©️ — Decompile and debug binary code. Break down and analyze document files. Android Dalvik, MIPS, ARM, Intel x86, Java, WebAssembly & Ethereum Decompilers.
Manalyze — A static analyzer, which checks portable executables for malicious content.
mcsema — Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode. It translates ("lifts") executable binaries from native machine code to LLVM bitcode, which is very useful for performing program analysis methods.
Nauz File Detector — Static Linker/Compiler/Tool detector for Windows, Linux and MacOS.
Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.
VMware chap — chap analyzes un-instrumented ELF core files for leaks, memory growth, and corruption. It is sufficiently reliable that it can be used in automation to catch leaks before they are committed. As an interactive tool, it helps explain memory growth, can identify some forms of corruption, and supplements a debugger by giving the status of various memory locations.
zydis — Fast and lightweight x86/x86-64 disassembler library

Build tools

checkmake — Linter / Analyzer for Makefiles.
portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

CSS/SASS/SCSS

CSS Stats — Potentially interesting stats on stylesheets.
CSScomb — A coding style formatter for CSS. Supports own configurations to make style sheets beautiful and consistent.
CSSLint — Does basic syntax checking and finds problematic patterns or signs of inefficiency.
GraphMyCSS.com — CSS Specificity Graph Generator.
Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG
พาร์คเกอร์ — Stylesheet analysis tool.
PostCSS — A tool for transforming styles with JS plugins. These plugins can lint your CSS, support variables and mixins, transpile future CSS syntax, inline images, and more.
Project Wallace CSS Analyzer — Analytics for CSS, part of Project Wallace.
sass-lint — A Node-only Sass linter for both sass and scss syntax.
scsslint — Linter for SCSS files.
Specificity Graph — CSS Specificity Graph Generator.
Stylelint — Linter for SCSS/CSS files.

Config Files

dotenv-linter — Linting dotenv files like a charm.
dotenv-linter (Rust) — Lightning-fast linter for .env files. Written in Rust
gixy — A tool to analyze Nginx configuration. The main goal is to prevent misconfiguration and automate flaw detection.

Configuration Management

ansible-lint — Checks playbooks for practices and behaviour that could potentially be improved.
AWS CloudFormation Guard — Check local CloudFormation templates against policy-as-code rules and generate rules from existing templates.
AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
cfn-lint — AWS Labs CloudFormation linter.
cfn_nag — A linter for AWS CloudFormation templates.
chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
checkov — Static analysis tool for Terraform files (tf>=v0.12), preventing cloud misconfigs at build time.
clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
cookstyle — Cookstyle is a linting tool based on the RuboCop Ruby linting tool for Chef cookbooks.
Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
foodcritic — A lint tool that checks Chef cookbooks for common problems.
kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.
metadata-json-lint — Tool to check the validity of Puppet metadata.json files.
Puppet Lint — Check that your Puppet manifests conform to the style guide.
terraform-compliance — A lightweight, compliance- and security focused, BDD test framework against Terraform.
terrascan — Collection of security and best practice tests for static code analysis of Terraform templates.
tflint — A Terraform linter for detecting errors that can not be detected by terraform plan .
tfsec — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

ภาชนะบรรจุ

anchore — Discover, analyze, and certify container images. A service that analyzes Docker images and applies user-defined acceptance policies to allow automated container image validation and certification
chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
clair — Vulnerability Static Analysis for Containers.
clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
collector — Run arbitrary scripts inside containers, and gather useful information.
dagda — Perform static analysis of known vulnerabilities in docker images/containers.
Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
Docker Label Inspector — Lint and validate Dockerfile labels.
Haskell Dockerfile Linter — A smarter Dockerfile linter that helps you build best practice Docker images.
kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
kube-score — Static code analysis of your Kubernetes object definitions.
KubeLinter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.
OpenSCAP — Suite of automated audit tools to examine the configuration and known vulnerabilities following the NIST-certified Security Content Automation Protocol (SCAP).
Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.
sysdig ©️ — A secure DevOps platform for cloud and container forensics. Built on an open source stack, Sysdig provides Docker image scanning and created Falco, the open standard for runtime threat detection for containers, Kubernetes and cloud.
Vuls — Agent-less Linux vulnerability scanner based on information from NVD, OVAL, etc. It has some container image support, although is not a container specific tool.

Continuous Integration

actionlint — Static checker for GitHub Actions workflow files. Provides an online version.
AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
Code Climate — The open and extensible static analysis platform, for everyone.
exakat — An automated code reviewing engine for PHP.
Nitpick CI ©️ — Automated PHP code review.
PullRequest ©️ — Code review as a service with built-in static analysis. Increase velocity and reduce technical debt through quality code review by expert engineers backed by best-in-class automation.
คุณภาพ — Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.
QuantifiedCode — Automated code review & repair. It helps you to keep track of issues and metrics in your software projects, and can be easily extended to support new types of analyses.
Reviewdog — A tool for posting review comments from any linter in any code hosting service.
Symfony Insight ©️ — Detect security risks, find bugs and provide actionable metrics for PHP projects.
Violations Lib — Java library for parsing report files from static code analysis. Used by a bunch of Jenkins, Maven and Gradle plugins.

Deno

deno_lint — Official linter for Deno.

Embedded

oelint-adv — Linter for bitbake recipes used in open-embedded and YOCTO

Embedded Ruby (aka ERB, eRuby)

ERB Lint — Lint your ERB or HTML files

Gherkin

gherkin-lint — A linter for the Gherkin-Syntax written in Javascript.

HTML

Angular ESLint — Linter for Angular projects
Bootlint — An HTML linter for Bootstrap projects.
ERB Lint — Lint your ERB or HTML files
grunt-bootlint — A Grunt wrapper for Bootlint, the HTML linter for Bootstrap projects.
gulp-bootlint — A gulp wrapper for Bootlint, the HTML linter for Bootstrap projects.
HTML Inspector — HTML Inspector is a code quality tool to help you and your team write better markup.
HTML Tidy — Corrects and cleans up HTML and XML documents by fixing markup errors and upgrading legacy code to modern standards.
HTML-Validate — Offline HTML5 validator.
HTMLHint — A Static Code Analysis Tool for HTML.
Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG
Polymer-analyzer — A static analysis framework for Web Components.

JSON

Spectral — A flexible JSON/YAML linter, without of the box support for OpenAPI v2/v3 and AsyncAPI v2.

Kubernetes

chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.

LaTeX

ChkTeX — A linter for LaTex which catches some typographic errors LaTeX oversees.
lacheck — A tool for finding common mistakes in LaTeX documents.
TeXLab — A Language Server Protocol implementation for TeX/LaTeX, including lint capabilities.

Laravel

Enlightn — A static and dynamic analysis tool for Laravel applications that provides recommendations to improve the performance, security and code reliability of Laravel apps. Contains 120 automated checks.

Makefiles

checkmake — Linter / Analyzer for Makefiles.
portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

การทำเครื่องหมาย

markdownlint — Node.js -based style checker and lint tool for Markdown/CommonMark files.
mdformat — CommonMark compliant Markdown formatter
mdl — A tool to check Markdown files and flag style issues.
remark-lint — Pluggable Markdown code style linter written in JavaScript.

Metalinter

ciocheck — Linter, formatter and test suite helper. As a linter, it is a wrapper around pep8 , pydocstyle , flake8 , and pylint .
flake8 — A wrapper around pyflakes , pycodestyle and mccabe .
Go Meta Linter — Concurrently run Go lint tools and normalise their output. Use golangci-lint for new projects.
goreporter — Concurrently runs many linters and normalises their output to a report.
multilint — A wrapper around flake8 , isort and modernize .
prospector — A wrapper around pylint , pep8 , mccabe and others.

มือถือ

Android Lint — Run static analysis on Android projects.
android-lint-summary — Combines lint errors of multiple projects into one output, check lint results of multiple sub-projects at once.
FlowDroid — Static taint analysis tool for Android applications.
iblessing — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.
Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.
paprika — A toolkit to detect some code smells in analyzed Android applications.
qark — Tool to look for several security related Android application vulnerabilities.
redex — Redex provides a framework for reading, writing, and analyzing .dex files, and a set of optimization passes that use this framework to improve the bytecode. An APK optimized by Redex should be smaller and faster.

ห้าม

deadnix — Scan Nix files for dead code (unused variable bindings)

node.js

lockfile-lint — Lint an npm or yarn lockfile to analyze and detect security issues
njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.
NodeJSScan — A static security code scanner for Node.js applications powered by libsast and semgrep that builds on the njsscan cli tool. It features a UI with various dashboards about an application's security status.
standard — An npm module that checks for Javascript Styleguide issues.

แพ็คเกจ

lintian — Static analysis tool for Debian packages.
rpmlint — Tool for checking common errors in rpm packages.

Protocol Buffers

buf — Provides a CLI linter that enforces good API design choices and structure
protolint — Pluggable linter and fixer to enforce Protocol Buffer style and conventions.

Puppet

metadata-json-lint — Tool to check the validity of Puppet metadata.json files.

Rails

dawnscanner — A static analysis security scanner for ruby written web applications. It supports Sinatra, Padrino and Ruby on Rails frameworks.

Security/SAST

AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.
Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
Enlightn — A static and dynamic analysis tool for Laravel applications that provides recommendations to improve the performance, security and code reliability of Laravel apps. Contains 120 automated checks.
Gitleaks — A SAST tool for detecting hardcoded secrets like passwords, api keys, and tokens in git repos.
gokart — Golang security analysis with a focus on minimizing false positives. It is capable of tracing the source of variables and function arguments to determine whether input sources are safe.
iblessing — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.
kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
lockfile-lint — Lint an npm or yarn lockfile to analyze and detect security issues
njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.
NodeJSScan — A static security code scanner for Node.js applications powered by libsast and semgrep that builds on the njsscan cli tool. It features a UI with various dashboards about an application's security status.
Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.
PT Application Inspector ©️ — Identifies code flaws and detects vulnerabilities to prevent web attacks. Demonstrates remote code execution by presenting possible exploits.
Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.
QuantifiedCode — Automated code review & repair. It helps you to keep track of issues and metrics in your software projects, and can be easily extended to support new types of analyses.
scorecard — Security Scorecards - Security health metrics for Open Source
SearchDiggity ©️ — Identifies vulnerabilities in open source code projects hosted on Github, Google Code, MS CodePlex, SourceForge, and more. The tool comes with over 130 default searches that identify SQL injection, cross-site scripting (XSS), insecure remote and local file includes, hard-coded passwords, etc.
tfsec — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.
Tsunami Security Scanner — A general purpose network security scanner with an extensible plugin system for detecting high severity RCE-like vulnerabilities with high confidence. Custom detectors for finding vulnerabilities (eg open APIs) can be added.

Smart Contracts

mythril — A symbolic execution framework with batteries included, can be used to find and exploit vulnerabilities in smart contracts automatically.
MythX ©️ — MythX is an easy to use analysis platform which integrates several analysis methods like fuzzing, symbolic execution and static analysis to find vulnerabilities with high precision. It can be integrated with toolchains like Remix or VSCode or called from the command-line.
slither — Static analysis framework that runs a suite of vulnerability detectors, prints visual information about contract details, and provides an API to easily write custom analyses.
solhint — Solhint is an open source project created by https://protofire.io. Its goal is to provide a linting utility for Solidity code.
solium — Solium is a linter to identify and fix style and security issues in Solidity smart contracts.

สนับสนุน

LibVCS4j — A Java library that allows existing tools to analyse the evolution of software systems by providing a common API for different version control systems and issue trackers.
Violations Lib — Java library for parsing report files from static code analysis. Used by a bunch of Jenkins, Maven and Gradle plugins.

Template-Languages

ember-template-lint — Linter for Ember or Handlebars templates.
haml-lint — Tool for writing clean and consistent HAML.
slim-lint — Configurable tool for analyzing Slim templates.
yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

รูปปั้น

kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
shisho — A lightweight static code analyzer designed for developers and security teams. It allows you to analyze and transform source code with an intuitive DSL similar to sed, but for code.

การแปล

dennis — A set of utilities for working with PO files to ease development and improve quality.

Vue.js

HTML-Validate — Offline HTML5 validator.
Vetur — Vue tooling for VS Code, powered by vls (vue language server). Vetur has support for formatting embedded HTML, CSS, SCSS, JS, TypeScript, and more. Vetur only has a "whole document formatter" and cannot format arbitrary ranges.

Webassembly

Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

การเขียน

After the Deadline — Spell, style and grammar checker.
alex — Catch insensitive, inconsiderate writing
codespell — Check code for common misspellings.
languagetool — Style and grammar checker for 25+ languages. It finds many errors that a simple spell checker cannot detect.
misspell-fixer — Quick tool for fixing common misspellings, typos in source code.
Misspelled Words In Context — A spell-checker that groups possible misspellings and shows them in their contexts.
proselint — A linter for English prose with a focus on writing style instead of grammar.
vale — A syntax-aware linter for prose built with speed and extensibility in mind.
write-good — A linter with a focus on eliminating "weasel words".

ยม

Spectral — A flexible JSON/YAML linter, without of the box support for OpenAPI v2/v3 and AsyncAPI v2.
yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

กระตวน

commitlint — checks if your commit messages meet the conventional commit format

`More Collections`

Clean code linters — A collection of linters in github collections
Code Quality Checker Tools For PHP Projects — A collection of PHP linters in github collections
go-tools — A collection of tools and libraries for working with Go code, including linters and static analysis
linters — An introduction to static code analysis
OWASP Source Code Analysis Tools — List of tools maintained by the Open Web Application Security Project
php-static-analysis-tools — A reviewed list of useful PHP static analysis tools
Wikipedia — A list of tools for static code analysis.

^ back to top ^

`License`

MIT License & cc license

งานนี้ได้รับใบอนุญาตภายใต้ใบอนุญาต Creative Commons Attribution 4.0 International

To the extent possible under law, Paul Veillard has waived all copyright and related or neighboring rights to this work.

ขยาย