fucking static analysis

该存储库列出了所有编程语言，构建工具，配置文件等的静态分析工具。重点是改善代码质量（例如衬里和格式化器）的工具。官方网站？ Analysis-tools.dev基于此存储库，并添加了排名，用户评论以及每个工具的视频（例如视频）。

没有我们的赞助商的慷慨支持，这个项目将是不可能的。

如果您还想支持这个项目，请前往我们? ?? GitHub赞助商页面）。

• ©祖代表专有软件。所有其他工具都是开源。
• 表明社区不再建议将此工具用于新项目。图标链接到讨论问题。
• 配x这意味着该工具在1年以上没有更新，或者存档存储库。

拉力请求非常欢迎！
还查看姐妹项目958 106?令人敬畏的动态分析）。

• abap
• 艾达
• 集会
• 尴尬
• c
• C＃
• C ++
• 克洛杰尔
• 咖啡本
• 冷灌注
• 水晶
• 镖
• 德尔菲
• Dlang
• 长生不老药
• 榆树
• Erlang
• F＃
• Fortran
• 去
• Groovy
• 哈斯克尔
• 哈克斯
• 爪哇
• JavaScript
• 朱莉娅
• 科特林
• 卢阿
• MATLAB
• 尼姆
• OCAML
• php
• PL/SQL
• 珀尔
• Python
• r
• 雷戈
• 红宝石
• 锈
• SQL
• Scala
• 壳
• 迅速
• TCL
• 打字稿
• Verilog/Systemverilog
• vim脚本

• ？ Abaplint - 用打字稿编写的ABAP的Linter。

• ？ Abapopenchecks - 使用新的和可自定义的检查来增强SAP代码检查器。

• ？ CodePeer©️-检测运行时和逻辑错误。

• ？ ADA©️的PolySpace - 提供代码验证，以证明没有溢出，按零划分，隔离阵列访问以及源代码中的某些其他运行时错误。

• ？ Spark©找ADA的静态分析和正式验证工具集。

• 749 75?斯托克）配x - 针对X86_64指令集的编程语言不可知性随机优化器。它使用随机搜索来探索所有可能的程序转换的极高维度。

• ？ gawk-细小的 - 警告说，这些构造对其他AWK实施是可疑或不可或缺的。

• ？ Astrée©找 - Astrée自动证明了C/C ++应用程序中没有运行时错误和无效的并发行为。它听起来很快，非常快，而且非常精确。该分析仪还检查MISRA/CERT/CWE/自适应汽车编码规则，并支持ISO 26262，DO-178C级别A级和其他安全标准的资格。可以提供Jenkins和Eclipse插件。

• CBMC - 用于C程序的有限模型检查器，用户定义的断言，标准断言，几个覆盖范围度量分析。

• ？ Clang-Tidy - 基于Clang的C ++ Linter工具，具有（有限的）解决问题的能力。

• 672 94? Clazy） - 基于Clang框架的面向QT的静态代码分析仪。 Clazy是一个编译器插件，它允许Clang了解QT语义。您会收到50多个QT相关的编译器警告，从不需要的记忆分配到误用API，包括用于自动重构的修复程序。

• 72 27? CMetrics） - 衡量C文件的大小和复杂性。

• ？ CPACHECKER - 用于C程序的可配置软件验证的工具。选择CPACHECKER的名称是为了反映该工具基于CPA概念，用于检查软件程序。

• ？ CPPCHECK - C/C ++代码的静态分析。

• ？ cppdeptip©️-测量，查询和可视化您的代码，避免意外的问题，技术债务和复杂性。

• 37674 13306? CPPLINT） - 遵循Google样式指南的自动化C ++检查器。

• 64 11? CQmetrics） - C代码的质量指标。

• ？ CSCOUT - C和C预处理器代码的复杂性和质量指标。

• 14 3? enre-cpp） - enre（实体关系提取器）是提取代码实体依赖关系或源代码关系的工具。 Enre-CPP是基于 @eclipse/cdt的C/C ++的实体关系提取器。 （正在开发）

• ESBMC - ESBMC是一个开源，基于可满足的模型理论，可以验证单线和多线程C/C/C ++程序的允许许可，上下文结合的模型检查器。

• 缺点配x - 发现可能的安全弱点。

• 266 21? Flint ++）配x - Flint的跨平台，零依赖性端口，这是在Facebook上开发和使用的C ++的棉绒程序。

• ？ Frama-C- C代码的声音且可扩展的静态分析仪。

• ？ GCC - GCC编译器从版本10开始具有静态分析功能。仅当启用分析仪支持配置GCC时，此选项才可用。它还可以以Sarif格式（来自V13）的JSON文件输出其诊断。

• ？ goblint-用于分析多线程C程序的静态分析仪。它的主要重点是检测数据竞赛，但还报告了其他运行时错误，例如缓冲区溢出和无数销量的删除。

• ？ Helix QAC©️-用于嵌入式软件的企业级静态分析。支持MISRA，CERT和AUTOSAR编码标准。

• 2771 191? IKO） - 基于LLVM的C/C ++代码的声音静态分析仪。

• ？ Joern - 基于代码属性图的C/C ++的开源代码分析平台

• Klee - 在LLVM编译器基础架构顶部构建的动态符号执行引擎。它可以为程序自动生成测试案例，以便测试案例尽可能多地锻炼程序。

• ？ LDRA©️-包括Misra C＆C ++，JSF ++ AV，CWE，CWE，CWE，CWE，CWE，CERT C，CERT C ++和自定义规则在内的各种标准的工具套件。

• ？伴侣配x - 一套用于交互式程序分析的工具，重点是狩猎C和C ++代码中的错误。 MATE使用代码属性图（CPG）统一了特定于应用程序的和低级漏洞分析，从而发现了依赖于实现详细信息和目标C/C/C ++程序的高级语义的高度应用特定漏洞。

• ？ PC-lint©️-C/C ++的静态分析。在Windows/Linux/MacOS下本地运行。分析几乎任何平台的代码，支持C11/C18和C ++ 17。

• ？ PHASAR - 基于LLVM的静态分析框架，带有污点和类型状态分析。

• ？ PolySpace错误查找器©️-标识C和C ++嵌入式软件中的运行时错误，并发问题，安全漏洞和其他缺陷。

• ？ PolySpace代码供供您©️-提供代码验证，以证明缺乏溢出，按零，距离阵列访问以及C和C ++源代码中的某些其他运行时错误。

• ？扫描构建 - 前端通过常规构建来驱动Clang内置的Clang静态分析仪。

• 夹板 - 注释辅助静态程序检查器。

• ？ SVF - 一种静态工具，可实现C和C ++程序的可扩展和精确的分解依赖性分析。

• ？ TrustInsoft Analyzer©找 - 编码错误及其相关安全漏洞的详尽检测。这包括声音不确定的行为检测（缓冲区溢出，隔离阵列访问，无零件式验证，无用，无用，划分的隔离，非初始化的内存访问，签名的溢出，无效的指针等等），数据流动和控制流动验证以及完整功能化的正式验证以及正式函数的正式验证。支持C18和C ++的所有版本，最高为C ++ 20。 Trustinsoft Analyzer将在Q2'2023（TCL3）中获得ISO 26262资格。 Misra C检查器也被捆绑在一起。

• ？ Vera ++配x - Vera ++是用于验证，分析和转换C ++源代码的可编程工具。

• .NET Analyzers - 使用.NET编译器平台开发分析仪（诊断和代码修复）的组织。

• 949 61? Archunitnet） - AC＃架构测试库，用于在C＃中指定和主张架构规则，以进行自动测试。

• ？ Code-cracker - 用于C＃和VB的分析仪库，该库使用Roslyn生产重构，代码分析和其他味道。

• 160 26? csharpessentials）配x - C＃Essentials是Roslyn诊断分析仪，代码修复和重构的集合，使其易于使用C＃6语言功能。

• DesignIte©找 - Designite支持检测各种体系结构，设计和实施气味，各种代码质量指标的计算以及趋势分析。

• ？ Gendarme - Gendarme检查包含ECMA CIL格式（Mono和.NET）代码的程序和库。

• 737 29?推断＃）配x - Infersharp（也称为推论＃）是C＃的概要室和可扩展的静态代码分析仪。通过Facebook推断的功能，该工具可检测到无指针效率和资源泄漏。

• 965 51? Meziantou.analyzer） - Roslyn分析仪，在设计，用法，安全性，性能和样式方面，在C＃中执行了一些良好的实践。

• ndepperiation©找 - 测量，查询和可视化您的代码，避免意外的问题，技术债务和复杂性。

• ？ PUMA扫描 - PUMA扫描为开发团队在Visual Studio中编写代码，提供了常见漏洞（XSS，SQLI，CSRF，LDAPI，Crypto，delelialization等）的实时安全代码分析。

• 3128 263? Roslynator） - 由罗斯林（Roslyn）提供支持的190多种分析仪和190多个重构。

• 803 229? Sonaranalyzer.csharp） - 这些Roslyn分析仪可通过帮助您在代码库中找到和纠正错误，纠正和纠正错误，脆弱性和代码气味来制作安全，可靠和可维护的干净代码。

• 65 16? VSDIAGNOSTICS）配x - 基于罗斯林（Roslyn）的静态分析仪的集合，该分析仪与VS集成。

• 91 10? Wintellect.Analyzers） - .NET编译器平台（“ Roslyn”）诊断分析仪和代码修复程序。

• ？ Astrée©找 - Astrée自动证明了C/C ++应用程序中没有运行时错误和无效的并发行为。它听起来很快，非常快，而且非常精确。该分析仪还检查MISRA/CERT/CWE/自适应汽车编码规则，并支持ISO 26262，DO-178C级别A级和其他安全标准的资格。可以提供Jenkins和Eclipse插件。

• CBMC - 用于C程序的有限模型检查器，用户定义的断言，标准断言，几个覆盖范围度量分析。

• ？ Clang-Tidy - 基于Clang的C ++ Linter工具，具有（有限的）解决问题的能力。

• 672 94? Clazy） - 基于Clang框架的面向QT的静态代码分析仪。 Clazy是一个编译器插件，它允许Clang了解QT语义。您会收到50多个QT相关的编译器警告，从不需要的记忆分配到误用API，包括用于自动重构的修复程序。

• 72 27? CMetrics） - 衡量C文件的大小和复杂性。

• ？ CPPCHECK - C/C ++代码的静态分析。

• ？ cppdeptip©️-测量，查询和可视化您的代码，避免意外的问题，技术债务和复杂性。

• 37674 13306? CPPLINT） - 遵循Google样式指南的自动化C ++检查器。

• 64 11? CQmetrics） - C代码的质量指标。

• ？ CSCOUT - C和C预处理器代码的复杂性和质量指标。

• 14 3? enre-cpp） - enre（实体关系提取器）是提取代码实体依赖关系或源代码关系的工具。 Enre-CPP是基于 @eclipse/cdt的C/C ++的实体关系提取器。 （正在开发）

• ESBMC - ESBMC是一个开源，基于可满足的模型理论，可以验证单线和多线程C/C/C ++程序的允许许可，上下文结合的模型检查器。

• 缺点配x - 发现可能的安全弱点。

• 266 21? Flint ++）配x - Flint的跨平台，零依赖性端口，这是在Facebook上开发和使用的C ++的棉绒程序。

• ？ Frama-C- C代码的声音且可扩展的静态分析仪。

• ？ Helix QAC©️-用于嵌入式软件的企业级静态分析。支持MISRA，CERT和AUTOSAR编码标准。

• 2771 191? IKO） - 基于LLVM的C/C ++代码的声音静态分析仪。

• ？ Joern - 基于代码属性图的C/C ++的开源代码分析平台

• Klee - 在LLVM编译器基础架构顶部构建的动态符号执行引擎。它可以为程序自动生成测试案例，以便测试案例尽可能多地锻炼程序。

• ？ LDRA©️-包括Misra C＆C ++，JSF ++ AV，CWE，CWE，CWE，CWE，CWE，CERT C，CERT C ++和自定义规则在内的各种标准的工具套件。

• ？伴侣配x - 一套用于交互式程序分析的工具，重点是狩猎C和C ++代码中的错误。 MATE使用代码属性图（CPG）统一了特定于应用程序的和低级漏洞分析，从而发现了依赖于实现详细信息和目标C/C/C ++程序的高级语义的高度应用特定漏洞。

• ？ PC-lint©️-C/C ++的静态分析。在Windows/Linux/MacOS下本地运行。分析几乎任何平台的代码，支持C11/C18和C ++ 17。

• ？ PHASAR - 基于LLVM的静态分析框架，带有污点和类型状态分析。

• ？ PolySpace错误查找器©️-标识C和C ++嵌入式软件中的运行时错误，并发问题，安全漏洞和其他缺陷。

• ？ PolySpace代码供供您©️-提供代码验证，以证明缺乏溢出，按零，距离阵列访问以及C和C ++源代码中的某些其他运行时错误。

• ？扫描构建 - 前端通过常规构建来驱动Clang内置的Clang静态分析仪。

• 夹板 - 注释辅助静态程序检查器。

• ？ SVF - 一种静态工具，可实现C和C ++程序的可扩展和精确的分解依赖性分析。

• ？ TrustInsoft Analyzer©找 - 编码错误及其相关安全漏洞的详尽检测。这包括声音不确定的行为检测（缓冲区溢出，隔离阵列访问，无零件式验证，无用，无用，划分的隔离，非初始化的内存访问，签名的溢出，无效的指针等等），数据流动和控制流动验证以及完整功能化的正式验证以及正式函数的正式验证。支持C18和C ++的所有版本，最高为C ++ 20。 Trustinsoft Analyzer将在Q2'2023（TCL3）中获得ISO 26262资格。 Misra C检查器也被捆绑在一起。

• ？ Vera ++配x - Vera ++是用于验证，分析和转换C ++源代码的可编程工具。

• 1726 293? CLJ-KONDO） - Clojure代码的衬里，它会引起欢乐。它会在打字时告知您可能出现的潜在错误。

• ？咖啡林配x - 一种样式的检查器，可帮助保持Coffeescript代码清洁和一致。

• ？ FIXINATOR©找 - ColdFusion或CFML代码的静态安全代码分析。设计用于在CI管道或开发人员终端中工作。

• ？ Ameba - 一种用于晶体的静态代码分析工具。

• ？晶体 - 晶体编译器具有内置的刺激功能。

• ？飞镖代码指标配x - 飞镖的其他衬里。报告代码指标，检查反模式，并为DART Analyzer提供其他规则。

• ？有效_dart - 与有效DART指南相对应的林格规则

• 277 82?皮棉）配x - 一套由社区驱动的，针对飞镖和扑朔迷离项目的一套绒毛规则。喜欢pedantic但更严格

• ？飞镖的衬里 - 飞镖的样式衬里。

• 100 16? Delphilint） - 由Sonardelphi提供支持的代码分析和覆盖的Delphi IDE软件包。

• ？修复Insight©️-用于静态代码分析的免费IDE插件。专业版包含用于自动化目的的命令行工具。

• ？ Pascal Analyzer©找 - 带有大量报告的静态代码分析工具。免费的Lite版本具有有限的报告。

• ？ Pascal Expert© -IDE插件用于代码分析。包括Pascal分析仪报告功能的子集，可用于2007年及以后的Delphi版本。

• 110 19? Sonardelphi） - Sonarqube代码质量平台的Delphi静态分析仪。

• 241 80? D-Scanner） - D-Scanner是分析D源代码的工具。

• 4951 420? Credo） - 一种静态代码分析工具，重点是代码一致性和教学。

• 1720 142?透析） - 混合任务以简化长辈项目中透析的使用。

• 1693 96? Sobelow） - 凤凰框架以安全为重点的静态分析。

• ？榆树分析配x - 一种允许您分析ELM代码，识别缺陷并应用最佳实践的工具。

• ？ ELM-REVIEW - 分析整个ELM项目，重点是用ELM编写的可共享和自定义规则，以保证ELM编译器不会给您。

• ？透明师 - 透里策是ERLANG程序的差异分析仪。透明剂是一种静态分析工具，可识别软件差异，例如确定的类型错误，由于编程错误而变已死或无法实现的代码，并且在单个ERLANG模块或整个应用程序集中（集合）中已不必要的测试。透明师从调试计算的Beam字节码或Erlang源代码开始其分析。报告了差异的文件和行号，并指示差异的内容。 Dialyzer基于成功键入概念的分析，该概念允许发出声音警告（无误报）。

• 425 87?猫王） - Erlang风格的评论者。

• 103 11?原始Erlang安全工具（害虫））配x - 对ERLANG源代码进行基本扫描的工具，并报告可能导致Erlang源代码不安全的任何功能调用。

• ？ Fantomas - F＃源代码格式化。

• ？ FSHARPLINT - F＃的棉绒工具。

• ？ Ionide-Analyzers - 由fsharp.analyzers.sdk构建的F＃分析仪的集合。

• ？ fprettify-用Python编写的现代Fortran源代码的自动格式。 FPRETTIFY是一种在代码中提供一致的空格，凹痕和定界线对齐的工具，包括更改字母案例和处理预处理指令的能力，同时保留了修订历史记录并测试了编辑器集成。

• 62 17? I代码CNES fortran） - Fortran 77，Fortran 90和Shell的开源静态代码分析工具。

• ？ AlignCheck - 查找效率低下的结构。

• 314 33? Bodyclose） - 检查HTTP响应主体是否关闭。

• 50 15? dead Code） - 找到未使用的代码。

• 316 28?野狗）配x - 静态分析仪，用于在GO中寻找僵局。

• 73 2?狗狗） - 找到带有太多空白标识符的作业/声明。

• 346 25? dupl）配x - 报告可能重复的代码。

• 2365 138? errcheck） - 检查使用错误返回值。

• 372 16? ERRWRAP） - 新的％W动词指令包装和修复GO错误。该工具分析FMT.ERRORF（）调用和报告调用，其中包含与GO v1.13中引入的新％W动词指令不同的动词指令。它还能够重写使用新的％W Wrap Verb指令。

• 51 4? Flen） - 获取有关GO软件包中功能长度的信息。

• 3507 267? Go Meta Linter）配x - 同时运行GO棉绒工具并将其输出标准化。将golangci-lint用于新项目。

• ？ Go Tool Vet -Shadow-报告可能无意间阴影的变量。

• ？ GO VET - 检查源代码并报告可疑。

• 339 16? GO一致） - 分析仪可帮助您使GO程序更加一致。

• 1873 117? GO-Critic） - GO源代码衬里，该固定器保持了当前未在其他衬里中实现的检查。

• ？ GO/AST - 软件包AST声明用于代表GO包的语法树的类型。

• 61 2? doast）配x - 基于Rego的基于AST（抽象语法树）的静态分析工具。

• 105 12? gochecknoglobals）配x - 检查是否存在任何全球群体。

• 296 17? GOCONST） - 找到可以用常数代替的重复字符串。

• 1388 83? Gocyclo）配x - 计算GO源代码中功能的循环复杂性。

• ？ GOFMT -S-检查代码是否正确格式化，无法进一步简化。

• 3390 113? GOFUMPT） - 与gofmt相比，强制执行更严格的格式，同时是向后兼容的。也就是说， gofumpt对gofmt满意的格式感到满意。该工具是gofmt的叉子，从1.19开始，需要1.18或更高版本。它可以用作格式化代码格式的置换式替换，并且在Gofumpt之后运行GOFMT应该不会产生任何更改。 gofumpt将永远不会添加与gofmt格式不同的规则。因此，我们扩展了gofmt而不是与之竞争。

• ？ Goimports - 检查丢失或未参考的软件包导入。

• 2181 110? Gokart） - Golang安全分析的重点是最大程度地减少误报。它能够追踪变量和函数参数的来源，以确定输入源是否安全。

• ？ Golangci-lint - Go Meta Linter的替代方法：Golangci-lint是衬里聚合器。

• 3973 491? GOLINT） - 在GO源代码中打印出编码样式错误。

• 3130 271? Goreporter） - 同时运行许多林格，并将其输出归为报告。

• 466 19? Goroutine-provers） - 一种交互式工具，用于分析Golang Goroutine转储。

• ？ GOSEC（GAS） - 通过扫描GO AST检查源代码是否有安全问题。

• ？ GoType - 类似于GO编译器的句法和语义分析。

• ？ Govulncheck - Govulncheck报告了影响GO代码的已知漏洞。它使用源代码或二进制符号表的静态分析将报告缩小到可能影响应用程序的报告。默认情况下，Govulncheck在https://vuln.go.dev上向GO漏洞数据库提出了请求。对漏洞数据库的请求仅包含模块路径，而不包含程序的代码或其他属性。

• 404 25?效率调节）配x - 在GO代码中检测无效分配。

• 689 17?互换）配x - 建议可以使用的较窄界面。

• 65 9? lll）配x - 报告长行。

• 538 42?恶意）配x - 检测结构，如果对其字段进行分类，将减少内存。

• 1354 115?拼写错误） - 发现通常拼写错误的英语单词。

• 127 15? Nakedret） - 找到赤裸裸的回报。

• 85 5? NARGS） - 在功能声明中找到未使用的论点。

• 643 24? PREALLOC） - 找到可能会预先分配的切片声明。

• 8053 427? ReviewDog） - 一种用于在任何代码托管服务中发表任何Linter的评论评论的工具。

• ？复活 - 快速，可配置，可扩展，灵活和美丽的衬里。滴定golint。

• 564 47? SAFESQL）配x - Golang的静态分析工具，可预防SQL注射。

• 369 15? shisho）配x - 专为开发人员和安全团队设计的轻质静态代码分析仪。它使您可以使用类似于SED的直观DSL分析和转换源代码，但对于代码。

• ？静态检查 - 专门研究错误，简化代码和提高性能的静态分析。

• ？结构检查 - 找到未使用的结构字段。

• 817 27? structslop） - GO的静态分析仪，建议结构场现场重排以提供最大的空间/分配效率

• ？测试 - 显示来自STDLIB测试模块的测试故障的位置。

• 380 26?不转折） - 检测冗余类型转换。

• 533 28? UNPARAM） - 找到未使用的功能参数。

• ？ Varcheck - 找到未使用的全局变量和常数。

• 267 41? WSL） - 在正确的位置执行空线。

• ？ CODENARC - 一种用于源代码的静态分析工具，可以监视和执行许多编码标准和最佳实践。

• 690 67?布列塔尼）配x - Haskell源代码格式

• 1484 197? HLINT） - HLINT是建议对Haskell代码进行改进的工具。

• ？ Liquid Haskell -Liquid Haskell是Haskell程序的改进类型检查器。

• ？ Stan - Stan是用于分析Haskell项目和输出发现的漏洞的命令行工具，并使用可能的解决方案来解决问题。

• 170 28?除草剂） - 一种用于检测Haskell代码中死亡出口或包装的工具。

• ？ HAXE CHECKSTYLE - 一种静态分析工具，可帮助开发人员编写遵守编码标准的HAXE代码。

• ？ Checker框架 - 可插入Java的类型检查。这不仅是一个错误，而且是一个验证工具，可以保证正确。它带有27种预构建类型的系统，它使用户能够定义自己的类型系统。该手动列表超过30个用户限制的类型系统。

• ？ CheckStyle - 检查Java源代码是否遵守代码标准或一组验证规则（最佳实践）。

• 387 154? CK） - 通过处理源Java文件来计算Chidamber和Kemerer面向对象的指标。

• CKJM - 通过处理编译的Java文件的字节码来计算Chidamber和Kemerer面向对象的指标。

• ？ Cognicrypt - 检查Java源和字节代码是否不正确使用加密API。

• 1034 356?数据流框架） - Java的工业强度数据流框架。数据流框架用于Checker Framework，Google易于使用的错误，Uber的Nullaway，Meta的Nullsafe以及其他情况。它与Checker框架分发。

• DesignIteJava©️-DesignIteJava支持检测各种体系结构，设计和实现的气味，并计算各种代码质量指标。

• ？ Diffblue©️-Diffblue是一家软件公司，为软件开发团队提供AI驱动的代码分析和测试解决方案。它的技术可帮助开发人员自动化测试，查找错误并减少其软件开发过程中的体力劳动。该公司的主要产品Diffblue Cover使用AI来生成和运行Java代码的单元测试，有助于捕获错误并提高代码质量。

• ？ DOOP - DOOP是针对Java/Android程序进行静态分析的声明框架，以指针分析算法为中心。 DOOP提供了各种各样的分析以及周围的脚手架，以端到端进行分析（事实生成，处理，统计等）。

• 13 8? enre-java） - Enre（实体关系提取器）是提取代码实体依赖关系或源代码关系的工具。 Enre-Java是基于@eclipse JDT/Parser的Java项目的实体关系提取器。

• ？容易发生的错误 - 将常见的Java错误作为编译时错误。

• FB-Contrib - 带有其他错误检测器的Findbugs的插件。

• 340 34?禁止 - 检测特定方法/类/字段的调用（例如从没有charset的文本流中读取）。 Maven/gradle/ant兼容。

• 5674 864? Google-java-format） - 重新格式Java源代码符合Google Java风格

• 304 32?猎人）配x - 基于Procyon编译器工具的字节码静态分析仪工具，旨在取代发现虫。

• ？ Intellij Idea©️-与Java和Kotlin的大量检查捆绑在一起，其中包括用于重构，格式化等的工具。

• ？ jarchitect©️-测量，查询和可视化您的代码，避免意外问题，技术债务和复杂性。

• ？ JBMC - Java（字节码）的有限模型检查器，验证用户定义的断言，标准断言，几个覆盖范围度量分析。

• ？ Mariana Trench - 我们针对Android和Java应用程序的以安全为重点的静态分析工具。 Mariana Trench分析了Dalvik字节码，并构建旨在在大型代码库（10千万行代码）上快速运行。它可以在代码更改时发现漏洞，然后才能降落在您的存储库中。

• 3664 299? Nullaway） - 基于类型的Null-Pointer检查器，其构建时间开销低；一个容易发生的插件。

• ？ OWASP依赖性检查 - 检查已知，公开披露的漏洞的依赖项。

• ？ Qulice - 结合了一些（预配置）静态分析工具（CheckStyle，PMD，Findbugs，...）。

• 460 42? RefactorFirst） - 在Java代码库中确定并优先考虑上帝的课程和高度耦合的课程，您应该首先重构。

• ？烟灰 - 分析和转换Java和Android应用的框架。

• ？汤匙 - 勺子是一个元编程库，用于分析和转换Java源代码（包括Java 9、10、11、12、13、14）。它解析了源文件，以构建具有强大分析和转换API的精心设计的AST。可以集成在Maven和Gradle中。

• ？ Spotbugs - Spotbugs是Findbugs的继任者。用于静态分析的工具，可以在Java代码中查找错误。

• ？稳定的配x - 使用静态分析和测试来确定代码上下文和用法以提高准确性，以分析具有已知漏洞的开源依赖性的Java应用程序。

• 148 39?违反lib） - 用于解析报告文件的Java库中的静态代码分析。由一堆Jenkins，Maven和Gradle插件使用。

• 醚配x - 在节点或浏览器中，棉绒，分析，归一化，变换，沙盒，运行，逐步并可视化用户JavaScript。

• ？关闭编译器 - 一种编译器工具，可提高效率，降低尺寸并在JavaScript文件中提供代码警告。

• 111 29?闭合）配x - 确保所有项目的JavaScript代码遵循Google JavaScript样式指南中的指南。它还可以自动解决许多常见错误。

• 209 27?复杂性报告）配x - JavaScript项目的软件复杂性分析。

• ？ DeepScan©️-用于针对运行时错误和质量问题而不是编码约定的JavaScript的分析仪。

• 205 40? ES6-Plato）配x - 可视化JavaScript（ES6）源复杂性。

• 266 25? eScomplex）配x - JavaScript家庭抽象语法树的软件复杂性分析。

• ？ Esprima配x - 用于多功能分析的ECMAScript解析基础架构。

• ？流 - JavaScript的静态型检查器。

• ？黑格尔 - 一种静态类型的javaScript的静态检查器，对类型推理和强类型系统具有偏差。

• ？ JShint - 检测JavaScript代码中的错误和潜在问题，并执行团队的编码约定。

• 3619 463? JSlint） - JavaScript代码质量工具。

• ？ JSprime配x - 静态安全分析工具。

• ？ Nodejsscan - 由libsast和semgrep供电的NJSSCAN CLI工具供电的Node.js应用程序的静态安全代码扫描仪。它具有有关应用程序的安全状态的UI，具有各种仪表板。

• 4561 321?柏拉图）配x - 可视化JavaScript源复杂性。

• 431 201?聚合物 - 分析仪） - Web组件的静态分析框架。

• ？ retire.js - 扫描仪检测使用具有已知漏洞的JavaScript库的使用。

• rslint配x - （WIP）JavaScript Linter用Rust编写的（旨在尽可能快，可自定义且易于使用）。

• 标准 - 一个检查JavaScript StyleGuide问题的NPM模块。

• ？ Tern - 用于深层编辑语言支持的JavaScript代码分析仪。

• ？泰普配x - 使用TYPL，您只需编写完全标准的JS，该工具通过强大的推论来算出您的类型。

• 7718 292? XO） - 自以为是但可配置的Eslint包装器，其中包括许多东西。执行严格且可读的代码。

• 27 4?尺度）配x - JavaScript代码指标。

• 750 30? JET） - 检测错误和类型不稳定性的静态推理系统。

• 148 29?静态） - 朱莉娅的静态代码分析

• ？ Detekt - Kotlin代码的静态代码分析。

• ？ DIKTAT - Kotlin的严格编码标准以及检测和自动固定代码气味的衬里。

• ？ KTFMT - 将Kotlin源代码重新格式化的程序符合Kotlin代码约定的共同社区标准。可以从插件存储库中获得KTFMT Intellij插件。要安装它，请转到IDE的设置，然后选择插件类别。单击“市场”选项卡，搜索KTFMT插件，然后单击“安装”按钮。

• ？ KTLINT-一种带有内置格式化器的反骑自行车的Kotlin Linter。

• 372 57? Luacheck） - LUA代码的覆盖和静态分析的工具。

• 85 19? lualint） - lualint对LUA源代码中的全局可变使用情况进行基于LUAC的静态分析。

• ？ luanalysis配x - 用于静态打字LUA开发的IDE。

• ？ MLINT©找 - 检查MATLAB代码文件是否可能出现问题。

• ？ DRNIM - DRNIM将NIM前端与Z3防止引擎相结合，以允许用NIM编写的验证 /验证软件。

• 85 6? NIMFMT） - NIM代码格式化 / linter /样式检查器

• 224 41? SYS） - 用于在（浏览器）代码中查找错误的静态/符号工具。它使用LLVM AST查找诸如非初始化内存访问之类的错误。

• 376 66? verifast） - 一种模块化验证单线程和多线程C和Java程序的正确性属性的工具，该程序用以分离逻辑编写的前提条件和后条件注释。为了表达丰富的规格，程序员可以定义归纳数据类型，这些数据类型上的原始递归纯函数以及抽象的分离逻辑谓词。

• ？ CakeFuzzer - 基于CakePHP的Web应用程序的Web应用程序安全测试工具。 CakeFuzzer采用了一组预定义的攻击，这些攻击是在执行前随机修改的。 Cake Fuzzer利用其对Cake PHP框架的深入了解，对所有潜在的应用入口点发动了攻击。

• 1362 56? Churn-Php） - 帮助发现重构的好候选者。

• 465 10?作曲家依赖性 - 分析器） - 作曲家依赖性问题的快速检测。

• ？强大：检测未使用的，阴影和放错了作曲家依赖性
• ⚡表演者：2s中扫描15 000个文件！
• 可配置：通过PHP配置忽略细粒度
• ？轻巧：没有作曲家依赖性
• ？易于使用：第一次尝试不需要配置
• 兼容：PHP> = 7.2

• 530 26? DEPHPEND） - 依赖分析工具。

• 393 40?弃用检测器） - 找到折旧（Symfony）代码的用法。

• 2678 134? DEPTRAC） - 软件层之间依赖关系的规则。

• 114 14? DesignPatterndetector） - PHP代码中设计模式的检测。

• ？ EasyCodingStandard - 组合10696 1478? php_codesniffer）和12941 1583? PHP-CS固定器）。

• ？ Enlightn - 用于Laravel应用程序的静态和动态分析工具，可提供建议，以提高Laravel应用程序的性能，安全性和代码可靠性。包含120张自动检查。

• ？ EXAKAT - PHP的自动代码审查引擎。

• 4161 437? grumphp） - 在每个提交中检查代码。

• 5639 424? Larastan） - 为Laravel添加了静态分析，以提高开发人员的生产率和代码质量。它是phpstan周围的包装纸。

• ？蒙德里安配x - 使用图理论的一组静态分析和重构工具。

• ？ Nitpick CI©️-自动化的PHP代码评论。

• 293 22?并行细致） - 此工具比具有更高的输出的串行检查更快地检查PHP文件的语法。

• 368 41?解析） - 静态安全扫描仪。

• ？ pdection-计算PHP代码的循环复杂性等软件指标。

• ? ?? phan） - 来自Etsy的现代静态分析仪。

• 1100 45? PHP体系结构测试仪） - 易于使用PHP的架构测试工具。

• 158 10? PHP假设） - 检查是否弱假设。

• ？ PHP编码标准修复程序 - 根据PSR-1，PSR-2和Symfony标准等标准修复您的代码。

• ？ PHP Insights - 从您的控制台进行即时PHP质量检查。代码质量和编码样式的分析以及代码架构及其复杂性的概述。

• ？ PHP检查（EA扩展） - PHP的静态代码分析仪。

• ？ PHP重构浏览器 - 重构助手。

• 430 28? PHP语义版本控制器）配x - 根据语义版本提出下一个版本。

• 17109 1102? PHP-Parser） - 用PHP编写的PHP解析器。

• 68 22? php-speller） - php咒语检查库。

• 190 44? PHP反射）配x - 模拟PHP内部反射的库。

• 1524 121? php7cc）配x - PHP 7兼容性检查器。

• 797 92? PHP7 -MAR）配x - 协助开发人员将其代码快速移植到PHP 7。

• ？ php_codesniffer配x - 检测违反一组定义的编码标准。

• 761 41? phParkItect） - PhParkItect通过允许在工作流程中添加一些建筑约束检查来帮助您保持PHP代码库相干和固体。您可以在简单且可读的PHP代码中表达要执行的约束。

• 97 8? PHPCA）配x - 找到非建造的扩展名的用法。

• 2214 191? PHPCPD）配x - 复制/粘贴检测器的PHP代码。

• 415 47? phpdcd）配x - PHP代码的死亡代码检测器（DCD）。

• ？ PHPSTIPENTANALYSY分析配x - 为项目构建依赖图。

• 366 38? PHPDEPRECATIONDETECTOR） - PHP代码的分析仪，以搜索新的解释器版本中不弃用功能的问题。它找到了删除的对象（功能，变量，常数和INI导演），弃用功能的功能以及禁止名称或技巧的用法（例如，较新版本中的保留标识符）。

• 226 15? phpdoc-typehint）配x - 使用PHPDOC注释将标量类型提示和返回类型添加到现有的PHP项目中。

• ？ phpdocumentor-分析PHP源代码以生成文档。

• 2336 165? PHPLOC） - 一种用于快速测量大小和分析PHP项目结构的工具。

• ？ phpmd - 在您的代码中找到可能的错误。

• phpmetrics - 计算和可视化各种代码质量指标。

• 560 46? phpmnd） - 有助于检测魔术数字。

• ？ phpqa配x - 一种用于运行质量检查工具的工具（PHPLOC，PHPCPD，PHPCS，PDEPENDECT，PHPMD，PHPMETRICS）。

• 1231 67? PHPQA -JAKZAL） - 一个容器中用于PHP静态分析的许多工具。

• 327 29? PHPQA-JMOLIVAS） - PHPQA多合一分析仪CLI工具。

• 639 77? phpsa）配x - PHP的静态分析工具。

• ？ PHPSTAN - PHP静态分析工具 - 在您的代码中发现错误而无需运行！

• 333 61? ProgPilot） - 用于安全目的的静态分析工具。

• ？诗篇 - 用于在PHP应用程序中查找类型错误的静态分析工具。

• 494 31? Qafoo质量分析仪）配x - 可视化指标和源代码。

• ？校长 - 任何PHP 5.3+代码的即时升级和自动重构。它可以升级您的代码为7.4、8.0及以后的PHP。校长承诺较低的假阳性速率，因为它寻找狭义定义的AST（抽象语法树）模式。主要用例是解决您的旧版代码中的技术债务并删除死亡代码。 Rector为Symfony，Doctrine，Phpunit等提供了一组特殊规则。

• 119 51?反思） - 对PHP项目进行静态分析的反思库

• ？ Symfony Insight©q - 检测安全风险，查找错误并为PHP项目提供可行的指标。

• 171 7?图里） - 静态分析引擎。

• 118 32?树枝 - 薄荷） - 树枝薄荷是您的树枝文件的棉绒工具。

• ？ WAP - 在PHP（4.0或更高）Web应用程序中检测和纠正输入验证漏洞的工具，并通过结合静态分析和数据挖掘来预测误报。

• ？ ZPA - PL/SQL和Oracle SQL代码的开源解析器和代码分析仪。

• ？ PERL :: Analyzer - Perl-Analyzer是一组程序和模块，允许用户通过提供有关名称空间及其关系，依赖关系，继承和方法的信息，以包装中实现，继承和重新定义的命名空间及其关系，依赖性，继承和方法，以及从父母套件中呼叫的方法，通过SUPER通过SUPER来呼叫。

• ？ perl ::评论家 - 最佳实践的评论perl源代码。

• ？ perltidy - Perltidy是一个perl脚本，依靠和重新格式脚本使它们更易于阅读。格式可以用命令行参数控制。默认参数设置大致遵循Perl样式指南中的建议。除了重新格式化脚本外，Perltidy还可以通过缺少或额外的牙套，括号和方括号来追踪错误，这是一个很大的帮助，因为它非常擅长本地化错误。

• 47 10? Zarn） - 现代Perl应用程序的轻质静态安全分析工具

• 909 82? AutoFlake） - 自动叶片从Python代码中删除未使用的导入和未使用的变量。

• ？ AUTOPEP8 - 一种自动格式化Python代码以符合PEP 8样式指南的工具。它使用pycodestyle实用程序来确定需要格式化代码的哪些部分。

• ？强盗 - 在Python代码中查找常见安全问题的工具。

• 265 14? BULLYBUTTON） - 一款支持定制项目特定规则的覆盖引擎。

• ？黑色 - 毫不妥协的Python代码格式。

• ？投球手 - 现代Python的安全代码重构。圆顶硬礼帽是在语法树级别操纵python的重构工具。它可以实现安全的大规模代码修改，同时确保所得代码编译和运行。它提供一个简单的命令行接口和Python中的Fluent API，用于在代码中生成复杂的代码修改。

• 26 10? CIOCHECK）配x - 衬里，格式和测试套件辅助器。作为衬里，它是pep8 ， pydocstyle ， flake8和pylint周围的包装纸。

• 237 4?凝聚力） - 用于测量Python类内聚力的工具。

• ？交易 - python合同设计。编写无错误的代码。通过在代码中添加一些装饰器，您可以免费进行测试，静态分析，正式验证等等。

• 163 15? DLINT） - 确保Python代码安全的工具。

• 121 18?狡猾） - 狡猾的是一种非常基本的工具，可以与您的代码库相抵触，以搜索“狡猾”的外观值。这是一系列简单的正则表达式，旨在检测诸如意外SCM diff checkins，密码或秘密键硬编码为文件之类的事物。

• 13 2? nre-py）配x - ENRE（实体关系提取器）是从源代码中提取代码实体依赖关系或关系的工具。 Enre-Py是基于标准库的Python语言服务的Python的实体关系提取器。

• ？ FIXIT - 用于创建棉绒规则和源代码的相应自动修复的框架。

• 3488 310? Flake8） - 围绕pyflakes ， pycodestyle和mccabe包装纸。

• ？ Flakeheaven - Flakeheaven是围绕Flake8构建的Python Linter，以实现可遗传且复杂的TOML配置。

• ？ Griffe - 整个Python计划的签名。提取项目的结构，框架，项目的骨骼，以生成API文档或查找API中的破坏更改。

• 80 3? Inspectorgiger）配x - Inspecor Tiger是现代Python代码审查工具 /框架。它带有一堆预定义的处理程序，警告您有关改进和可能的错误。除了这些处理程序外，您还可以编写自己的书面或使用社区。

• ？绝地武士 - Python的自动完成/静态分析库。

• 185 26? linty Fresh） - 解析绒毛错误，并将其报告给Github，以评论拉动请求。

• ？麦凯布配x - 检查McCabe的复杂性。

• 28 6?多曲线）配x - flake8周围的包装纸， isort and modernize 。

• Mypy-静态的式检查器，旨在结合鸭打字和静态打字的好处，经常与4809 176? monkeytype）。

• 1964 172?探矿者） - 围绕pylint ， pep8 ， mccabe等的包装纸。

• 127 29? py-find注入）配x - 在Python代码中找到SQL注入漏洞。

• ？ Pyanalyze - 一种用于检测Python代码中常见错误的工具，例如对未定义变量的引用和类型错误。可以扩展以添加其他规则并执行特定于特定功能的检查。

• ？ PyCodequal©️-PyCodequal使您深入了解复杂性和错误风险。它为您的拉请求添加了自动评论。

• ？ PyCodestyle - （以前是pep8 ）根据PEP 8中的某些样式惯例检查Python代码。

• PydocStyle配x - 检查符合Python Docstring公约的符合条件。

• ？ PYFLAKES - 检查Python源文件是否错误。

• PYLINT - 寻找编程错误，有助于执行编码标准，并嗅探某些代码气味。它还包括pyreverse （一个UML图生成器）和symilar （相似性检查器）。

• ？ Pyzers - python的静态代码分析仪 /语言服务器，用Rust编写，专注于类型检查和可读输出。

• ？ Pyre-Check-大型Python代码库的快速，可扩展类型的检查器。

• 13613 1514? Pyright） - Python的静态型检查器，为解决Mypy等现有工具中的差距而创建。

• 212 21?玉米瘤）配x - 评估Python项目与Python包装生态系统的最佳实践相符的程度，并列出了可以改进的问题。

• ？ PYSA - 一种基于Facebook的Pyre-Check的工具，可在使用Taint Analysis确定的Python代码中确定潜在的安全问题。

• 2181 244? pyt- python taint）配x - 用于检测Python Web应用程序中安全漏洞的静态分析工具。

• ？ Pytype - Python代码的静态类型分析仪。

• ？ pyupgrade - 一种工具（和预加入挂钩），可自动升级该语言的较新版本的语法。

• 111 23? QuantifiedCode）配x - 自动代码审核和维修。它可以帮助您跟踪软件项目中的问题和指标，并且可以轻松扩展以支持新类型的分析。

• ？ ra-一种计算来自源代码的各种指标的Python工具。

• 2492 54?翻新） - 用于翻新和现代化Python代码库的工具。翻新的灵感来自Clippy，这是Rust的内置衬里。

• ？ ruff - 快速的python linter，用生锈写。比现有衬里快10-100倍。与Python 3.10兼容。支持文件观察器。

• ？不符号 - 林格，用于查找和删除未使用的导入语句的格式。

• 3579 156?秃鹰） - 在Python代码中找到未使用的类，功能和变量。

• ？ Wemake-Python-Styleguide - 有史以来最严格，最有见识的Python Linter。

• 1215 60?狡猾）配x - 一种命令行工具，用于存档，探索和绘制Python源代码的复杂性。

• ？ XENON - 使用1755 119? radon ）。

• 13811 890? YAPF） - Google YAPF创建的Python文件的格式化器遵循了一种独特的方法，该方法源自Daniel Jasper创建的“ Clang-Format”工具。 Essentially, the program reframes the code to the most suitable formatting that abides by the style guide, even if the original code already follows the style guide. This concept is similar to the Go programming language's 'gofmt' tool, which aims to put an end to debates about formatting by having the entire codebase of a project pass through YAPF whenever changes are made, thereby maintaining a consistent style throughout the project and eliminating the need to argue about style in every code review.

• 49 7? cyclocomp) — Quantifies the cyclomatic complexity of R functions / expressions.

• ？ GoodPractice - 分析R软件包的源代码，并提供最佳实践建议。

• 1206 186? lintr) — Static Code Analysis for R.

• ？ styler — Formatting of R source code files and pretty-printing of R code.

• 269 37? Regal) — Regal is a linter for the policy language Rego. Regal aims to catch bugs and mistakes in policy code, while at the same time helping people learn the language, best practices and idiomatic constructs.

• ？ Brakeman-静态分析安全漏洞扫描仪，用于Ruby在Rails应用程序上。

• 2690 229? bundler-audit) — Audit Gemfile.lock for gems with security vulnerabilities reported in 1025 221? Ruby Advisory Database).

• 1314 75?甘蔗）配x - 代码质量阈值检查作为您的构建的一部分。

• 407 33? Churn) — A Project to give the churn file, class, and method for a project for a given checkin. Over time the tool adds up the history of churns to give the number of times a file, class, or method is changing during the life of a project.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications.它支持Sinatra，Padrino和Ruby在Rails框架上。

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 1810 75? Fasterer) — Common Ruby idioms checker.

• ？ FLAY - FLAY分析结构相似性的代码。

• ？鞭打配x — Flog reports the most tortured code in an easy to read pain report.分数越高，代码中的痛苦就越大。

• 31 7? Fukuzatsu) — A tool for measuring code complexity in Ruby class files. Its analysis generates scores based on cyclomatic complexity algorithms with no added "opinions".

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 386 17?激光）配x — Static analysis and style linter for Ruby code.

• 626 96? MetricFu)配x — MetricFu is a set of tools to provide reports that show which parts of your code might need extra work.

• 439 17? pelusa) — Static analysis Lint-type tool to improve your OO Ruby code.

• 155 18?质量）配x - 使用社区工具对您的代码进行质量检查，并确保您的数字随着时间的流逝不会变得更糟。

• 250 20? Querly)配x — Pattern Based Checking Tool for Ruby.

• ？ Railroader配x - Ruby在Rails应用程序上的开源静态分析安全漏洞扫描仪。

• ？ rails_best_practices配x — A code metric tool for Rails projects

• 4052 280? reek) — Code smell detector for Ruby.

• 277 37? Roodi)配x — Roodi stands for Ruby Object Oriented Design Inferometer. It parses your Ruby code and warns you about design issues you have based on the checks that it has configured.

• ？ RuboCop - 基于社区红宝石风格指南的Ruby静态代码分析仪。

• 641 29? Rubrowser) — Ruby classes interactive dependency graph generator.

• 红宝石薄荷配x - Ruby的静态代码分析。

• 3368 225? rubycritic) — A Ruby code quality reporter.

• 901 56? rufo) — An opinionated ruby formatter, intended to be used via the command line as a text-editor plugin, to autoformat files on save or on demand.

• ？ Saikuro配x — A Ruby cyclomatic complexity analyzer.

• ？砂仪配x - 用于检查Sandi Metz规则的Ruby Code的静态分析工具。

• ？冰糕 - 为Ruby设计的快速，强大的类型的检查器。

• 2749 213? Standard Ruby) — Ruby Style Guide, with linter & automatic code fixer

• 1378 90? Steep) — Gradual Typing for Ruby.

• ？ C2Rust — C2Rust helps you migrate C99-compliant code to Rust.翻译器（或转介仪）产生不安全的锈蚀代码，与输入C代码紧密反映。

• 1784 46? cargo udeps) — Find unused dependencies in Cargo.toml. It either prints out a "unused crates" line listing the crates, or it prints out a line saying that no crates were unused.

• ？ cargo-audit — Audit Cargo.lock for crates with security vulnerabilities reported to the ? ?? RustSec Advisory Database).

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable.支持Elf（Linux，BSD），Mach-O（MacOS）和PE（Windows）二进制文件。

• 112 7? cargo-breaking) — cargo-breaking compares a crate's public API between two different branches, shows what changed, and suggests the next version according to semver.

• 586 52? cargo-call-stack) — Whole program static stack analysis The tool produces the full call graph of a program as a dot file.

• ？货运 - 用于覆盖依赖性的货物插件。 It can be used either as a command line too, a Rust crate, or a Github action for CI.它检查有效的许可证信息，重复的板条箱，安全漏洞等。

• 2723 67? cargo-expand) — Cargo subcommand to show result of macro expansion and #[derive] expansion applied to the current crate. This is a wrapper around a more verbose compiler command.

• 1417 67? cargo-geiger) — A cargo plugin for analysing the usage of unsafe Rust code Provides statistical output to aid security auditing

• 380 13? cargo-inspect)配x — Inspect Rust code without syntactic sugar to see what the compiler does behind the curtains.

• ？ cargo-semver-checks — Scan your Rust crate releases for semver violations. It can be used either directly via the CLI, as a GitHub Action in CI, or via release managers like release-plz . It found semver violations in ? more than 1 in 6 of the top 1000 most-downloaded crates on crates.io.

• 728 37? cargo-show-asm) — cargo subcommand showing the assembly, LLVM-IR and MIR generated for Rust code

• 332 35? cargo-spellcheck) — Checks all your documentation for spelling and grammar mistakes with hunspell (ready) and languagetool (preview)

• 252 9? cargo-unused-features)配x — Find potential unused enabled feature flags and prune them. You can generate a simple HTML report from the json to make it easier to inspect results. It removes a feature of a dependency and then compiles the project to see if it still compiles. If it does, the feature flag can possibly be removed, but it can be a false-positive.

• ？ clippy — A code linter to catch common mistakes and improve your Rust code.

• ？ diff.rs — Web application (WASM) to render a diff between Rust crate versions.

• ？ Dylint - 一种从动态库中运行锈蚀棉绒的工具。 Dylint makes it easy for developers to maintain their own personal lint collections.

• ？电解配x - 一种通过将锈程序转移到精益定理称者中的定义来正式验证的工具。

• 174 5? herbie)配x — Adds warnings or errors to your crate when using a numerically unstable floating point expression.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• 40 22? linter-rust)配x - 使用Rustc和货物在原子中伸出锈蚀。

• 486 29? lockbud) — Statically detects Rust deadlocks bugs. It currently detects two common kinds of deadlock bugs: doublelock and locks in conflicting order. It will print bugs in JSON format together with the source code location and an explanation of each bug.

• 1002 86? MIRAI) — And abstract interpreter operating on Rust's mid-level intermediate language, and providing warnings based on taint analysis.

• 132 4? prae)配x — Provides a convenient macro that allows you to generate type wrappers that promise to always uphold arbitrary invariants that you specified.

• ？ Prusti - 基于Viper验证基础设施的Rust静态验证器。默认情况下，Prusti通过证明诸如无法到达的陈述！（）和恐慌！（）无法验证恐慌。

• 1323 45? Rudra) — Rust Memory Safety & Undefined Behavior Detection.它能够分析单一生锈的包裹以及Crates.io上的所有软件包。

• 3510 256? Rust Language Server)配x — Supports functionality such as 'goto definition', symbol search, reformatting, and code completion, and enables renaming and refactorings.

• ？ rust-analyzer — Supports functionality such as 'goto definition', type inference, symbol search, reformatting, and code completion, and enables renaming and refactorings.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities.通过将有关依赖项树（cargo.lock）的数据嵌入JSON格式来工作，从而将其嵌入了编译可执行文件的专用链接器部分中。

• 853 62? rustfix) — Read and apply the suggestions made by rustc (and third-party lints, like those offered by clippy).

• 6104 898? rustfmt) — A tool for formatting Rust code according to style guidelines.

• 2729 72? RustViz) — RustViz is a tool that generates visualizations from simple Rust programs to assist users in better understanding the Rust Lifetime and Borrowing mechanism.它生成具有图形指标的SVG文件，该文件与MDBook集成以渲染Rust程序中数据流的可视化。

• 94 4? warnalyzer) — Show unused code from multi-crate Rust projects

• 173 2? dbcritic) — dbcritic finds problems in a database schema, such as a missing primary key constraint in a table.

• ？ holistic — More than 1,300 rules to analyze SQL queries. Takes an SQL schema definition and the query source code to generate improvement recommendations. Detects code smells, unused indexes, unused tables, views, materialized views, and more.

• 81 8? pgspot) — Spot vulnerabilities in postgres extension scripts. Finds unsafe search_path usage and unsafe object creation in PostgreSQL extension scripts or any other PostgreSQL SQL code.

• 181 14? sleek) — Sleek is a CLI tool for formatting SQL. It helps you maintain a consistent style across your SQL code, enhancing readability and productivity. The heavy lifting is done by the sqlformat crate.

• 2437 120? sqlcheck) — Automatically identify anti-patterns in SQL queries.

• ？ SQLFluff - 多个方言SQL Linter和格式化。

• 420 27? sqlint) — Simple SQL linter.

• ？ Squawk - linter for PostgreSQL，专注于迁移。防止数据库迁移引起的意外停机时间，并鼓励围绕Postgres模式和SQL的最佳实践。

• 214 74? tsqllint) — T-SQL-specific linter.

• 29 8? TSqlRules)配x - SQL Server的TSQL静态代码分析规则。

• ？ Visual Expert ©️ — Code analysis for PowerBuilder, Oracle, and SQL Server Explores, analyzes, and documents Code

• 268 34? linter)配x — Linter is a Scala static analysis compiler plugin which adds compile-time checks for various possible bugs, inefficiencies, and style problems.

• Scalastyle - Scalastyle检查了您的Scala代码，并指出了潜在的问题。

• 534 92? scapegoat) — Scala compiler plugin for static code analysis.

• ？ Wartremover - 灵活的Scala代码刺激工具。

• 348 22? bashate) — Code style enforcement for bash programs. The output format aims to follow pycodestyle (pep8) default output format.

• 62 17? i-Code CNES for Shell) — An open source static code analysis tool for Shell and Fortran (77 and 90).

• 17 0? kmdr) — CLI tool for learning commands from your terminal. KMDR通过解释的每个属性进行了分解的命令。

• ？ sh - 带有bash支持的壳牌解析器，格式化和解释器；包括SHFMT

• ？ ShellCheck - ShellCheck，一种静态分析工具，可为Bash/SH Shell脚本提供警告和建议。

• 4640 130? shellharden) — A syntax highlighter and a tool to semi-automate the rewriting of scripts to ShellCheck conformance, mainly focused on quoting.

• 8001 638? SwiftFormat) — A library and command-line formatting tool for reformatting Swift code.

• ？ Swiftlint-一种实施快速风格和约定的工具。

• ？裁缝配x - 用Apple Swift编程语言编写的源代码的静态分析和棉绒工具。

• Frink — A Tcl formatting and static check program (can prettify the program, minimise, obfuscate or just sanity check it).

• ？ Nagelfar - TCL的静态语法检查器。

• 69 36? tclchecker) — A static syntax analysis module (as part of 69 36? TDK)).

• 1666 230? Angular ESLint) — Linter for Angular projects

• Codelyzer配x — A set of tslint rules for static code analysis of Angular 2 TypeScript projects.

• 9 5? ENRE-ts) — ENRE (ENtity Relationship Extractor) is a tool for extraction of code entity dependencies or relationships from source code. ENRE-ts is a ENtity Relationship Extractor for ECMAScript and TypeScript based on @babel/parser.

• ？ fta — Rust-based static analysis for TypeScript projects

• ？ stc配x — Speedy TypeScript type checker written in Rust

• ？ tslint配x — TSLint has been deprecated as of 2019. Please see ? ?? this issue) for more details. typescript-eslint is now your best option for linting TypeScript. TSLint is an extensible static analysis tool that checks TypeScript code for readability, maintainability, and functionality errors.它在现代编辑和构建系统中得到了广泛的支持，可以通过您自己的皮棉规则，配置和格式化来定制。

• ？ TSLINT-CLEAN-CODE - 一组受清洁代码手册启发的TSLINT规则。

• 701 198? tslint-microsoft-contrib)配x — A set of tslint rules for static code analysis of TypeScript projects maintained by Microsoft.

• 240 20? TypeScript Call Graph) — CLI to generate an interactive graph of functions and calls from your TypeScript files

• 15391 2750? TypeScript ESLint) — TypeScript language extension for eslint.

• ？ zod — TypeScript-first schema validation with static type inference. The goal is to eliminate duplicative type declarations. With Zod, you declare a validator once and Zod will automatically infer the static TypeScript type. It is easy to compose simpler types into complex data structures.

• 2894 534? Icarus Verilog) — A Verilog simulation and synthesis tool that operates by compiling source code written in IEEE-1364 Verilog into some target format

• 478 31? svls) — A Language Server Protocol implementation for Verilog and SystemVerilog, including lint capabilities.

• 29 13? verible-linter-action) — Automatic SystemVerilog linting in github actions with the help of Verible Used to lint Verilog and SystemVerilog source files and comment erroneous lines of code in Pull Requests automatically.

• ？ Verilator - 一种将Verilog转换为C ++或SystemC中周期精确行为模型的工具。 Performs lint code-quality checks.

• 302 79? vscode-verilog-hdl-support) — Verilog HDL/SystemVerilog/Bluespec SystemVerilog support for VS Code. Provides syntax highlighting and Linting support from Icarus Verilog, Vivado Logical Simulation, Modelsim and Verilator

• 704 33?酿酒）配x - Python实施的快速且高度可扩展的VIM脚本语言。

• 13612 1441? ale) — Asynchronous Lint Engine for Vim and NeoVim with support for many languages.

• ？ Android Studio - 基于Intellij Idea，并捆绑了包括Android Lint在内的Android工具。

• ？ AppChecker©找 - C/C ++/C＃，PHP和Java的静态分析。

• ？应用程序检查器©️-商业静态代码分析，该分析生成可验证漏洞的利用。

• 4263 357? ApplicationInspector) — Creates reports of over 400 rule patterns for feature detection (eg the use of cryptography or version control in apps).

• ？ Archunit-单元测试您的Java或Kotlin体系结构。

• ？原子生物配x - 美化HTML，CSS，JavaScript，PHP，Python，Ruby，Java，C，C，C ++，C＃，Objective-C，Coffeescript，CoffeeScript，Typescript，Typescript，Coldfusion，SQL，SQL，SQL等。

• ？ autocorrect — A linter and formatter to help you to improve copywriting, correct spaces, words, punctuations between CJK (Chinese, Japanese, Korean).

• ？ Axivion Bauhaus Suite© - 跟踪易行的代码位置，样式违规，克隆或死亡代码，循环依赖性等，以及C/C ++，C＃/。Net，Java，Java和Ada 83/Ada 95。

• 2120 113? Bearer) — Open-Source static code analysis tool to discover, filter and prioritize security risks and vulnerabilities leading to sensitive data exposures (PII, PHI, PD). Highly configurable and easily extensible, built for security and engineering teams.

• ？更好的代码中心©️-更好的代码集线器检查您的GitHub代码库，该代码库针对由软件质量，软件改进组设计的10个工程指南。

• 832 96? Betterscan CE) — Checks your code and infra (various Git repositories supported, cloud stacks, CLI, Web Interface platform, integrationss available) for security and quality issues. Code Scanning/SAST/Linting using many tools/Scanners deduplicated with One Report (AI optional).

• ？ biome — A toolchain for web projects, aimed to provide functionalities to maintain them. Biome formats and lints code in a fraction of a second. It is the successor to Rome. It is designed to eventually replace Biome is designed to eventually replace Babel, ESLint, webpack, Prettier, Jest, and others.

• ？ BugProve ©️ — BugProve is a firmware analysis platform featuring both static and dynamic analysis techniques to discover memory corruptions, command injections and other classes or common weaknesses in binary code. It also detects vulnerable dependencies, weak cryptographic parameters, misconfigurations, and more.

• 254 28? callGraph) — Statically generates a call graph image and displays it on screen.

• ？铸件突出显示©席 - 商业静态代码分析，该分析在本地运行，但将结果上传到其云中以进行演示。

• ？ CheckMarx CXSAST©️-不需要预兼容的商业静态代码分析。

• 2783 290? ClassGraph) — A classpath and module path scanner for querying or visualizing class metadata or class relatedness.

• ？ Clayton©席 - AI驱动的代码评论Salesforce。确保您的发展，执行最佳实践并实时控制您的技术债务。

• ？煤炭配x — Language independent framework for creating code analysis - supports ? over 60 languages by default.

• ？ COBRA©️-NASA的喷气推进实验室的结构源代码分析仪。

• ？ Codacy ©️ — Code Analysis to ship Better Code, Faster.

• ？代码智能©找 - CI/CD-AGNOSTIC DEVSECOPS平台，结合了行业领先的模糊引擎，用于查找错误和可视化代码覆盖

• ？ CODEAC©目标 - 自动代码审核工具与GitHub，Bitbucket和Gitlab（甚至是自托管）集成在一起。可用于JavaScript，Typescript，Python，Ruby，Go，Php，Java，Docker等。 （免费开源）

• ？ codeburner — Provides a unified interface to sort and act on the issues it finds.

• ？ codechecker — A defect database and viewer extension for the Clang Static Analyzer with web GUI.

• ？ CodeFactor©q - 用于GitHub或Bitbucket上的存储库的自动代码分析。

• ？ CodeFlow©️-可处理技术深度的自动代码分析工具。 Integrates with Bitbucket and Gitlab. （免费用于开源项目）

• ？ codeit.right©️-Codeit.right™提供了一种快速，自动化的方法，以确保您的源代码遵守（您的）预定义的设计和样式指南以及最佳的编码实践。

• ？ Codemodder — Codemodder is a pluggable framework for building expressive codemods. Use Codemodder when you need more than a linter or code formatting tool. Use it to fix non-trivial security issues and other code quality problems.

• ？ CodePatrol©️-由安全驱动的自动SAST代码评论，支持15多种语言并包括安全培训。

• 7855 1576? codeql) — Deep code analysis - semantic queries and dataflow for several languages with VSCode plugin support.

• ？ CodeQue — Ecosystem for structural matching JavaScript and TypeScript code. Offers search tool that understands code structure. Available as CLI tool and Visual Studio Code extension. It helps to search code faster and more accurately making you workflow more effective. Soon it will offer ESLint plugin to create your own rules in minutes to help with assuring codebase quality.

• ？ CODERUSH©找 - 代码创建，调试，导航，重构，分析和可视化工具，在Visual Studio 2015及以上使用Roslyn引擎。

• ？ Codescan©️-Salesforce开发人员的代码质量和安全性。 Codescan的代码分析解决方案专门为Salesforce平台制作，可为您提供对代码健康的全部知名度。

• ？ Codescene©️-代码是软件的质量可视化工具。优先考虑技术债务，检测交货风险并衡量组织方面。完全自动化。

• ？ CodeSee ©️ — CodeSee is mapping and automating your app's services, directories, file dependencies, and code changes. It's like Google Map, but for code.t

• ？ Grammatech的CodeSonar©q - 高级，整个程序，深度路径，C，C ++，Java和C＃的静态分析，具有易于理解的解释以及代码和路径可视化。

• ？ Codety ©️ — Codety Scanner is a comprehensive source code scanner that embeds 5000+ static code analysis rules, which aim to detect code issues for 20+ programming languages and IaC tools.

• ？ Codiga©️-支持12多种语言的自动代码评论和技术债务管理平台。

• 2164 116?腐蚀）配x — Semi-automatic translation from C to Rust.可以通过显示生锈的编译器警告和错误来揭示原始实现中的错误。被C2rust取代。

• ？ Coverity ©️ — Synopsys Coverity supports 20 languages and over 70 frameworks including Ruby on rails, Scala, PHP, Python, JavaScript, TypeScript, Java, Fortran, C, C++, C#, VB.NET.

• ？ cpp-linter-action — A Github Action for linting C/C++ code integrating clang-tidy and clang-format to collect feedback provided in the form of thread comments and/or annotations.

• 323 17? cqc)配x - 检查JS，JSX，VUE，CSS，LINS，SCS，SASS和Styl文件的代码质量。

• ？ DeepCode配x ©️ — DeepCode was acquired by Snyk is now Snyk Code.

• ？ DeepSource©️-深入的静态分析，以在错误风险，安全性，反式图案，性能，文档和样式的垂直方面找到问题。与github，gitlab和bitbucket的本地集成。不到5％的假阳性。

• 201 55? Depends) — Analyses the comprehensive dependencies of code elements for Java, C/C++, Ruby.

• ？ DerScanner ©️ — Multi-language Static Application Security Testing (SAST) platform that detects critical vulnerabilities, including hardcoded secrets, weak cryptography, backdoors, SQL injections, insecure configurations, etc.

• 921 114? DevSkim) — Regex-based static analysis tool for Visual Studio, VS Code, and Sublime Text - C/C++, C#, PHP, ASP, Python, Ruby, Java, and others.

• 1936 172? dotenet-format) — A code formatter for .NET. Preferences will be read from an .editorconfig file, if present, otherwise a default set of preferences will be used. At this time dotnet-format is able to format C# and Visual Basic projects with a subset of supported .editorconfig options.

• ？ expold©找 - 智能软件分析平台，可识别设计问题，代码问题，重复和指标。 Supports Java, C, C++, C#, JavaScript, TypeScript, Python, Go, Kotlin and more.

• 846 48? emerge) — Emerge is a source code and dependency visualizer that can be used to gather insights about source code structure, metrics, dependencies and complexity of software projects. After scanning the source code of a project it provides you an interactive web interface to explore and analyze your project by using graph structures.

• 25359 4594? ESLint) — An extensible linter for JS, following the ECMAScript standard.

• ？ ezno — A JavaScript compiler and TypeScript checker written in Rust with a focus on static analysis and runtime performance. Ezno's type checker is built from scratch. The checker is fully compatible with TypeScript type annotations and can work without any type annotations at all.

• ？查找安全错误 - 用于Java Web应用程序和Android应用程序的安全审核的SpotBugs插件。 （也与Kotlin，Groovy和Scala项目一起工作）

• ？ Fortify ©️ — A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python （2.6，2.7），Ruby（1.9.3），Swift，Scala，VB和XML。

• ？ Freeplane Code Explorer — The Code Explorer mode in Freeplane is designed for analyzing the structure and dependencies of code compiled to JVM class files. It also allows displaying ArchUnit test results directly in Freeplane, if Freeplane is running and ArchUnit detects rule violations during the tests.

• ？ GoodCheck - 基于REGEXP的可自定义衬里。

• 52 3? goone)配x - 在GO代码中查找n+1个查询（for for loop中的SQL调用）

• Graudit - Grep Rough Audit-源代码审核工具。

• ？ HCL AppScan Source ©️ — Commercial Static Code Analysis.

• 57 11?料斗）配x - 用Scala编写的静态分析工具，用于在JVM上运行的语言。

• ？ Hound CI配x — Comments on style violations in GitHub pull requests. Supports Coffeescript, Go, HAML, JavaScript, Ruby, SCSS and Swift.

• 223 42? imhotep)配x — Comment on commits coming into your repository and check for syntactic errors and general lint warnings.

• 77 28? include-gardener)配x - C/C ++/OBJ-C/Python/Ruby的多语言静态分析仪创建图形（以DOT或GraphMl格式），该图显示给定文件集的所有#include关系。

• ？ Infer — A static analyzer for Java, C and Objective-C

• ？ Kiuwan©️-在巨大的，协作的环境中识别和补救网络威胁，并在您的SDLC中无缝集成。 Python，C C ++，Java，C＃，PHP等。

• ？ KLOCWORK©找 - C/C ++，Java和C＃的质量和安全性静态分析。

• ？ LGTM ©️ — Find security vulnerabilities, variants, and critical code quality issues using CodeQL queries over source code.自动公关代码审查； free for open source. Formerly semmle. It supports public Git repositories hosted on Bitbucket Cloud, GitHub.com, GitLab.com.

• 1878 252? lizard) — Lizard is an extensible Cyclomatic Complexity Analyzer for many programming languages including C/C++ (doesn't require all the header files or Java imports). It also does copy-paste detection (code clone detection/code duplicate detection) and many other forms of static code analysis. Counts lines of code without comments, CCN (cyclomatic complexity number), token count of functions, parameter count of functions.

• ？大型级别 - 巨型限制可以通过其70+嵌入式林格（其高级报告），可在任何CI系统或本地运行，具有辅助安装和配置，能够应用格式和修复，可以处理任何类型的项目

• ？ Mobb ©️ — Mobb is a trusted, automatic vulnerability fixer that secures applications, reduces security backlogs, and frees developers to focus on innovation. Mobb is free for open-source projects.

• ？ MOPSA — A static analyzer designed to easily reuse abstract domains across widely different languages (such as C and Python).

• OCLINT - 一种静态源代码分析工具，可改善质量并减少C，C ++和Objective-C的缺陷。

• ？进攻360©q - 商业静态代码分析系统不需要构建源代码或预兼容。

• ？ OpenRewrite — OpenRewrite ? fixes common static analysis issues reported through Sonar and other tools using a Maven and Gradle plugin or the Moderne CLI.

• 44 16? OpenStaticAnalyzer) — OpenStaticAnalyzer is a source code analyzer tool, which can perform deep static analysis of the source code of complex systems.

• 12888 472? oxc) — The Oxidation Compiler is creating a suite of high-performance tools for the JavaScript / TypeScript language re-written in Rust.

• ？ PARASOFT©找 - 用于单位，API-和Web UI测试的自动化软件测试解决方案。符合Misra，Owasp和其他人。

• ? ?? pfff)配x — Facebook's tools for code analysis, visualizations, or style-preserving source transformation for many languages.

• ？ Pixee ©️ — Pixeebot finds security and code quality issues in your code and creates merge-ready pull requests with recommended fixes.

• ？ PMD - Java，Salesforce Apex，JavaScript，PLSQL，XML，XSL等的源代码分析仪。

• ？预警 - 一个用于管理和维护多语言预加入挂钩的框架。

• ？ Precaution — Precaution is a static analysis security tool (SAST) designed to find potentially critical vulnerabilities in source code prior to production. It is available as a CLI, GitHub Action, and GitHub App.

• ？ Prettier — An opinionated code formatter.

• 2628 246? Pronto) — Quick automated code review of your changes. Supports more than 40 runners for various languages, including Clang, Elixir, JavaScript, PHP, Ruby and more.

• 60 12? PT.PM)配x - 基于统一AST或UST的源代码中搜索模式的引擎。 At present time C#, Java, PHP, PL/SQL, T-SQL, and JavaScript are supported. Patterns can be described within the code or using a DSL.

• 715 40? Putout) — Pluggable and configurable code transformer with built-in eslint, babel plugins support for js, jsx typescript, flow, markdown, yaml and json.

• ？ PVS-Studio ©️ — A ? conditionally free for FOSS and individual developers) static analysis of C, C++, C# and Java code. For advertising purposes 29 41? you can propose a large FOSS project for analysis by PVS employees). Supports CWE mapping, OWASP ASVS, MISRA, AUTOSAR and SEI CERT coding standards.

• ？ Pylama - Python和JavaScript的代码审核工具。包裹pycodestyle，pydocStyle，Pyflakes，McCabe，Pylint等

• ？ Qwiet AI ©️ — Identify vulnerabilities that are unique to your code base before they reach production.利用代码属性图（CPG）在单个图中同时运行其分析。 Automatically finds business logic flaws in dev like hardcoded secrets and logic bombs

• ？ Refactoring Essentials — The free Visual Studio 2015 extension for C# and VB.NET refactorings, including code best practice analyzers.

• 59 12? relint) — A static file linter that allows you to write custom rules using regular expressions (RegEx).

• ？ ReSharper ©️ — Extends Visual Studio with on-the-fly code inspections for C#, VB.NET, ASP.NET, JavaScript, TypeScript and other technologies.

• ？ RIPS ©️ — A static source code analyser for vulnerabilities in PHP scripts.

• 1600 466? Roslyn Analyzers) — Roslyn-based implementation of FxCop analyzers.

• ？罗斯林保安人员 - 侧重于识别潜在漏洞的项目，例如SQL注入，跨站点脚本（XSS），CSRF，密码弱点，硬编码密码等。

• ？ SafeQL — Validate and auto-generate TypeScript types from raw SQL queries in PostgreSQL. SafeQL is an ESLint plugin for writing SQL queries in a type-safe way.

• ？ SAST Online ©️ — Check the Android Source code thoroughly to uncover and address potential security concerns and vulnerabilities. Static application security testing (Static Code Analysis) tool Online

• ？审查器©️-可以与GitHub集成的专有代码质量检查器。

• ？ Security Code Scan — Security code analyzer for C# and VB.NET.检测各种安全漏洞模式：SQLI，XSS，CSRF，XXE，Open Redirect等。将其集成到Visual Studio 2015和更新中。 Detects various security vulnerability patterns: SQLi, XSS, CSRF, XXE, Open Redirect, etc.

• ？ SEMGREP - 一种快速，开源，静态分析工具，用于在编辑，Commit和CI时间查找错误和执行代码标准。它的规则看起来像您已经编写的代码；没有抽象的语法树或正则摔跤。支持17多种语言。

• ？ Semgrep Supply Chain ©️ — Quickly find and remediate high-priority security issues. Semgrep Supply Chain prioritizes the 2% of vulnerabilities that are reachable from your code.

• 815 113? ShiftLeft Scan) — Scan is a free open-source DevSecOps platform for detecting security issues in source code and dependencies.它支持广泛的语言和CI/CD管道。

• 270 35? shipshape)配x — Static program analysis platform that allows custom analyzers to plug in through a common interface.

• ？ Sigrid ©️ — Sigrid helps you to improve your software by measuring your system's code quality, and then compares the results against a benchmark of thousands of industry systems to give you concrete advice on areas where you can improve.

• ？相似性测试仪 - 一种在文件之间或内部找到相似之处以支持您遇到违反干燥原则的工具。

• ？ Snyk Code ©️ — Snyk Code finds security vulnerabilities based on AI. Its speed of analysis allow us to analyse your code in real time and deliver results when you hit the save button in your IDE. Supported languages are Java, JavaScript, Python, PHP, C#, Go and TypeScript.与github，bitbucket和gitlab集成。 It is free to try and part of the Snyk platform also covering SCA, containers and IaC.

• ？ SonarQube Cloud ©️ — SonarQube Cloud enables your team to deliver clean code consistently and efficiently with a code review tool that easily integrates into the cloud DevOps platforms and extend your CI/CD workflow. SonarQube Cloud provides a free plan.

• ？ SonarQube for IDE — SonarQube for IDE (formerly SonarLint) is a free IDE extension available for IntelliJ, VS Code, Visual Studio, and Eclipse, to find and fix coding issues in real-time, flagging issues as you code, just like a spell-checker. More than a linter, it also delivers rich contextual guidance to help developers understand why there is an issue, assess the risk, and educate them on how to fix it.

• ？ SonarQube Server — SonarQube empowers development teams with a code quality and security solution that deeply integrates into your enterprise environment; enabling you to deploy clean code consistently and reliably. SonarQube provides a free and open source Community Build.

• ？ Sonatype©找 - 报告已知漏洞的常见依赖性，并建议更新软件包以最大程度地减少破坏更改

• ？ SOTO平台©找 - 静态分析工具套件，由三个组件SotoArc（体系结构分析），Sotograph（质量分析）和Sotoreport（质量报告）组成。帮助查找架构和实现之间的差异，接口违规（例如子系统的私人部分的外部访问，对所有类，文件，软件包和子系统的检测，这些阶层，周期性关系以及更多的范围。Sotograph产品系列在Windows和Linux上运行。

• ？ SourceMeter ©️ — Static Code Analysis for C/C++, Java, C#, Python, and RPG III and RPG IV versions (including free-form).

• 493 25? sqlvet) — Performs static analysis on raw SQL queries in your Go code base to surface potential runtime errors.它检查了SQL语法错误，标识可能导致SQL注射的不安全查询，确保列计数匹配插入语句中的值计数并验证表格和列名。

• ？ StaticReviewer ©️ — Static Reviewer executes code checks according to the most relevant Secure Coding Standards, OWASP, CWE, CVE, CVSS, MISRA, CERT, for 40+ programming languages, using 1000+ built-in validation rules for Security, Deadcode & Best Practices Available a module for Software Composition Analysis (SCA) to find vulnerabilities in open source and third party libraries.

• 113 17? Super-Linter) — Combination of multiple linters to install as a GitHub Action.

• ？ Svace ©️ — Static code analysis tool for Java,C,C++,C#,Go.

• ？ Synopsys©找 - 一个商业静态分析平台，允许扫描多种语言（C/C ++，Android，C＃，Java，JS，JS，PHP，Python，Python，Node.js，Ruby，Ruby，Fortran和Swift）。

• ？ TeamScale©️-静态和动态分析工具支持25多种语言和直接IDE集成。可根据要求提供的开源项目免费托管。 Free academic licenses available.

• ？ TencentCodeAnalysis — Tencent Cloud Code Analysis (TCA for short, code-named CodeDog inside the company early) is a comprehensive platform for code analysis and issue tracking. TCA consist of three components, server, web and client. It integrates of a number of self-developed tools, and also supports dynamic integration of code analysis tools in various programming languages.

• 4873 592? ThreatMapper) — Vulnerability Scanner and Risk Evaluation for containers, serverless and hosts at runtime. ThreatMapper generates runtime BOMs from dependencies and operating system packages, matches against multiple threat feeds, scans for unprotected secrets, and scores issues based on severity and risk-of-exploit.

• 429 42? todocheck) — Linter for integrating annotated TODOs with your issue trackers

• 24121 2379? trivy) — A Simple and Comprehensive Vulnerability Scanner for Containers and other Artifacts, Suitable for CI. Trivy检测到OS软件包（Alpine，Rhel，CentOS等）和应用依赖性（Bundler，Composer，NPM，Yarn等）的漏洞。检查容器和文件系统。

• ？ trunk ©️ — Modern repositories include many technologies, each with its own set of linters.凭借30多个衬里和计数，TRUNK使您可以为所有存储库识别，安装，配置和运行正确的衬里，静态分析仪和格式化器。

• 2015 594? TscanCode) — A fast and accurate static analysis solution for C/C++, C#, Lua codes provided by Tencent. Using GPLv3 license.

• 1633 64? Undebt) — Language-independent tool for massive, automatic, programmable refactoring based on simple pattern definitions.

• ？理解©找© - 提供代码分析，标准测试，指标，图形，依赖分析等的代码可视化工具，以及ADA，VHDL等。

• ？ Unibeautify - 带有GitHub应用程序的通用代码美化器。支持HTML，CSS，JavaScript，Typescript，JSX，VUE，C ++，GO，Objective-C，Java，Python，Python，PHP，GraphQl，Markdown等。

• ？ UPSOURCE©️-带有静态代码分析的代码审核工具，以及Java，PHP，JavaScript和Kotlin的代码感知导航。

• ？ VeraCode©找 - 在不需要源的情况下查找二进制文件和字节码中的缺陷。 Support all major programming languages: Java, .NET, JavaScript, Swift, Objective-C, C, C++ and more.

• 769 225? WALA) — Static analysis capabilities for Java bytecode and related languages and for JavaScript.

• 2354 131? weggli) — A fast and robust semantic search tool for C and C++ codebases.它旨在帮助安全研究人员在大型代码库中确定有趣的功能。

• ？ Whitehat应用程序安全平台©找Whitehat Scout（适用于开发人员）与Whitehat Sentinel Source（用于操作）支持Whitehat Top 40和OWASP TOP 10。

• 281 23? Wotan)配x — Pluggable TypeScript and JavaScript linter.

• ？ XCode ©️ — XCode provides a pretty decent UI for ? Clang's static code analyzer (C/C++, Obj-C).

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• 21 4? alquitran) — Inspects tar archives and tries to spot portability issues in regard to POSIX 2017 pax specification and common tar implementations. This project is intended to be used by maintainers of projects who want to offer portable source code archives for as many systems as possible. Checking tar archives with alquitran before publishing them should help spotting issues before they reach distributors and users.

• ？ packj — Packj (pronounced package) is a command line (CLI) tool to vet open-source software packages for "risky" attributes that make them vulnerable to supply chain attacks. This is the tool behind our large-scale security analysis platform Packj.dev that continuously vets packages and provides free reports.

• 238 7?纯的）配x — Pure is a static analysis file format checker that checks ZIP files for dangerous compression ratios, spec deviations, malicious archive signatures, mismatching local and central directory headers, ambiguous UTF-8 filenames, directory and symlink traversals, invalid MS-DOS dates, overlapping headers, overflow, underflow, sparseness, accidental buffer bleeds etc.

• ？ AZSK - 用于Azure（AZSK）的安全DEVOPS套件提供安全性智能，安全验证测试（SVTS），CICD扫描漏洞，合规性问题和基础架构错误配置在您的基础架构-AS-AS-AS代码中。 Supports Azure via ARM.

• 7659 1088? angr) — Binary code analysis tool that also supports symbolic execution.

• 508 56? binbloom) — Analyzes a raw binary firmware and determines features like endianness or the loading address.该工具与所有架构兼容。 Loading address: binbloom can parse a raw binary firmware and determine its loading address. Endianness: binbloom can use heuristics to determine the endianness of a firmware. UDS数据库：Binbloom可以解析原始的二进制固件，并检查它是否包含包含UDS命令ID的数组。

• 785 156? BinSkim) — A binary static analysis tool that provides security and correctness results for Windows portable executables.

• ？ Black Duck ©️ — Tool to analyze source code and binaries for reusable code, necessary licenses and potential security aspects.

• 4831 348? bloaty) — Ever wondered what's making your binary big? Bloaty McBloatface will show you a size profile of the binary so you can understand what's taking up space inside. Bloaty对二进制进行了深入的分析。 Using custom ELF, DWARF, and Mach-O parsers, Bloaty aims to accurately attribute every byte of the binary to the symbol or compileunit that produced it.它甚至会拆卸二进制文件以寻找对匿名数据的参考。 f

• 2398 51? cargo-bloat) — Find out what takes most of the space in your executable.支持Elf（Linux，BSD），Mach-O（MacOS）和PE（Windows）二进制文件。

• 1164 122? cwe_checker) — cwe_checker finds vulnerable patterns in binary executables.

• ？ Ghidra - NSA研究局开发的软件逆向工程套件（SRE）套件，以支持网络安全任务

• ？ Hopper ©️ — macOS and Linux reverse engineering tool that lets you disassemble, decompile and debug applications. Hopper displays the code using different representations, eg the Control Flow Graph, and the pseudo-code of a procedure. Supports Apple Silicon.

• ？ IDA免费©找 - 二进制代码分析工具。

• 158 24? Jakstab) — Jakstab is an Abstract Interpretation-based, integrated disassembly and static analysis framework for designing analyses on executables and recovering reliable control flow graphs.

• ？ JEB分解器©️-反编译和调试二进制代码。分解并分析文档文件。 Android Dalvik，MIPS，ARM，Intel X86，Java，WebAssembly和Ethereum Encompilers。

• ？ ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• 1025 161? Manalyze) — A static analyzer, which checks portable executables for malicious content.

• 2670 341? mcsema)配x — Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode. It translates ("lifts") executable binaries from native machine code to LLVM bitcode, which is very useful for performing program analysis methods.

• 533 80? Nauz File Detector) — Static Linker/Compiler/Tool detector for Windows, Linux and MacOS.

• 688 30? rust-audit) — Audit Rust binaries for known bugs or security vulnerabilities.通过将有关依赖项树（cargo.lock）的数据嵌入JSON格式来工作，从而将其嵌入了编译可执行文件的专用链接器部分中。

• ？ Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• 367 42? VMware chap) — chap analyzes un-instrumented ELF core files for leaks, memory growth, and corruption. It is sufficiently reliable that it can be used in automation to catch leaks before they are committed. As an interactive tool, it helps explain memory growth, can identify some forms of corruption, and supplements a debugger by giving the status of various memory locations.

• ？ zydis — Fast and lightweight x86/x86-64 disassembler library

• 1048 45? checkmake)配x — Linter / Analyzer for Makefiles.

• ？ portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• ？ CSS Stats — Potentially interesting stats on stylesheets.

• 3291 458? CSScomb) — A coding style formatter for CSS. Supports own configurations to make style sheets beautiful and consistent.

• CSSLint — Does basic syntax checking and finds problematic patterns or signs of inefficiency.

• ？ GraphMyCSS.com — CSS Specificity Graph Generator.

• ？ Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 2471 72? Parker)配x — Stylesheet analysis tool.

• ？ PostCSS — A tool for transforming styles with JS plugins. These plugins can lint your CSS, support variables and mixins, transpile future CSS syntax, inline images, and more.

• ？ Project Wallace CSS Analyzer — Analytics for CSS, part of ? Project Wallace.

• 1767 529? sass-lint)配x — A Node-only Sass linter for both sass and scss syntax.

• 3659 465? scsslint) — Linter for SCSS files.

• ？ Specificity Graph — CSS Specificity Graph Generator.

• Stylelint — Linter for SCSS/CSS files.

• ？ dotenv-linter — Linting dotenv files like a charm.

• ？ dotenv-linter (Rust) — Lightning-fast linter for .env files.用生锈写

• 8300 397? gixy) — A tool to analyze Nginx configuration. The main goal is to prevent misconfiguration and automate flaw detection.

• ？ ansible-lint — Checks playbooks for practices and behaviour that could potentially be improved.

• 1308 183? AWS CloudFormation Guard) — Check local CloudFormation templates against policy-as-code rules and generate rules from existing templates.

• ？ AZSK - 用于Azure（AZSK）的安全DEVOPS套件提供安全性智能，安全验证测试（SVTS），CICD扫描漏洞，合规性问题和基础架构错误配置在您的基础架构-AS-AS-AS代码中。 Supports Azure via ARM.

• 2470 597? cfn-lint) — AWS Labs CloudFormation linter.

• 1258 211? cfn_nag) — A linter for AWS CloudFormation templates.

• ？ checkov — Static analysis tool for Terraform files (tf>=v0.12), preventing cloud misconfigs at build time.

• ？ cookstyle — Cookstyle is a linting tool based on the RuboCop Ruby linting tool for Chef cookbooks.

• foodcritic — A lint tool that checks Chef cookbooks for common problems.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 818 205? Puppet Lint)配x — Check that your Puppet manifests conform to the style guide.

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ？ terraform-compliance — A lightweight, compliance- and security focused, BDD test framework against Terraform.

• 4786 507? terrascan) — Collection of security and best practice tests for static code analysis of Terraform templates.

• 5017 358? tflint) — A Terraform linter for detecting errors that can not be detected by terraform plan .

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ？ anchore — Discover, analyze, and certify container images. A service that analyzes Docker images and applies user-defined acceptance policies to allow automated container image validation and certification

• 10425 1167? clair) — Vulnerability Static Analysis for Containers.

• 290 23?集电极）配x — Run arbitrary scripts inside containers, and gather useful information.

• 1163 164? dagda)配x — Perform static analysis of known vulnerabilities in docker images/containers.

• 79 5? Docker Label Inspector)配x — Lint and validate Dockerfile labels.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 10559 422? Haskell Dockerfile Linter) — A smarter Dockerfile linter that helps you build best practice Docker images.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane仪表板呈现当前的RBAC安全姿势，并让您浏览其定义。

• ？ OpenSCAP — Suite of automated audit tools to examine the configuration and known vulnerabilities following the NIST-certified Security Content Automation Protocol (SCAP).

• ？ Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• ？ sysdig ©️ — A secure DevOps platform for cloud and container forensics. Built on an open source stack, Sysdig provides Docker image scanning and created Falco, the open standard for runtime threat detection for containers, Kubernetes and cloud.

• ？ Vuls — Agent-less Linux vulnerability scanner based on information from NVD, OVAL, etc. It has some container image support, although is not a container specific tool.

• ？ actionlint — Static checker for GitHub Actions workflow files. Provides an online version.

• ？ AZSK - 用于Azure（AZSK）的安全DEVOPS套件提供安全性智能，安全验证测试（SVTS），CICD扫描漏洞，合规性问题和基础架构错误配置在您的基础架构-AS-AS-AS代码中。 Supports Azure via ARM.

• ？ Code Climate — The open and extensible static analysis platform, for everyone.

• ？ Codecov ©️ — Codecov is a company that provides code coverage tools for developers and engineering leaders to gain visibility into their code coverage. They offer flexible and unified reporting, seamless coverage insights, and robust coverage controls. Codecov supports over 20 languages and is CI/CD agnostic. Over 29,000 organizations and 1 million developers use Codecov. Codecov has recently joined Sentry.

• ？ CodeRabbit ©️ — AI-powered code review tool that helps developers write better code faster. CodeRabbit provides automated code reviews, identifies security vulnerabilities, and suggests code improvements. It integrates with GitHub and GitLab.

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ？ Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ？ Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ？ Diffblue ©️ — Diffblue is a software company that provides AI-powered code analysis and testing solutions for software development teams. Its technology helps developers automate testing, find bugs, and reduce manual labor in their software development processes. The company's main product, Diffblue Cover, uses AI to generate and run unit tests for Java code, helping to catch errors and improve code quality.

• ？ EXAKAT - PHP的自动代码审查引擎。

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ Goblint — A static analyzer for the analysis of multi-threaded C programs. Its primary focus is the detection of data races, but it also reports other runtime errors, such as buffer overflows and null-pointer dereferences.

• ？ Nitpick CI©️-自动化的PHP代码评论。

• ？ PullRequest ©️ — Code review as a service with built-in static analysis. Increase velocity and reduce technical debt through quality code review by expert engineers backed by best-in-class automation.

• 155 18?质量）配x - 使用社区工具对您的代码进行质量检查，并确保您的数字随着时间的流逝不会变得更糟。

• 111 23? QuantifiedCode)配x - 自动代码审核和维修。它可以帮助您跟踪软件项目中的问题和指标，并且可以轻松扩展以支持新类型的分析。

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 8053 427? Reviewdog) — A tool for posting review comments from any linter in any code hosting service.

• ？ Symfony Insight©q - 检测安全风险，查找错误并为PHP项目提供可行的指标。

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Used by a bunch of Jenkins, Maven and Gradle plugins.

• 1552 173? deno_lint) — Official linter for Deno.

• 59 29? oelint-adv) — Linter for bitbake recipes used in open-embedded and YOCTO

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• 179 75? gherkin-lint) — A linter for the Gherkin-Syntax written in Javascript.

• 1666 230? Angular ESLint) — Linter for Angular projects

• 2395 311? Bootlint)配x — An HTML linter for Bootstrap projects.

• 682 123? ERB Lint) — Lint your ERB or HTML files

• 66 22? grunt-bootlint)配x — A Grunt wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 42 8? gulp-bootlint)配x — A gulp wrapper for 2395 311? Bootlint), the HTML linter for Bootstrap projects.

• 2318 145? HTML Inspector)配x — HTML Inspector is a code quality tool to help you and your team write better markup.

• HTML Tidy — Corrects and cleans up HTML and XML documents by fixing markup errors and upgrading legacy code to modern standards.

• ？ HTML-Validate — Offline HTML5 validator.

• 340 59? htmlbeautifier) — A normaliser/beautifier for HTML that also understands embedded Ruby. Ideal for tidying up Rails templates.

• ？ HTMLHint — A Static Code Analysis Tool for HTML.

• ？ Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG

• 431 201? Polymer-analyzer) — A static analysis framework for Web Components.

• ？ jsonlint — A JSON parser and validator with a CLI. Standalone version of jsonlint.com

• ？ Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• 1377 218? chart-testing) — ct is the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.

• 550 45? clusterlint) — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.

• ？ Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• 42 10? klint) — A tool that listens to changes in Kubernetes resources and runs linting rules against them. Identify and debug erroneous objects and nudge objects in line with the policies as both change over time. Klint helps us encode checks and proactively alert teams when they need to take action.

• 687 34? krane) — Krane is a simple Kubernetes RBAC static analysis tool. It identifies potential security risks in K8s RBAC design and makes suggestions on how to mitigate them. Krane仪表板呈现当前的RBAC安全姿势，并让您浏览其定义。

• ？ kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 157 12? kube-lint) — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.

• 3011 239? kube-linter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ？ kube-score — Static code analysis of your Kubernetes object definitions.

• 2334 126? kubeconform) — A fast Kubernetes manifests validator with support for custom resources.

It is inspired by, contains code from and is designed to stay close to ? Kubeval, but with the following improvements:

• high performance: will validate & download manifests over multiple routines, caching downloaded files in memory
• configurable list of remote, or local schemas locations, enabling validating Kubernetes custom resources (CRDs) and offline validation capabilities
• uses by default a self-updating fork of the schemas registry maintained by the kubernetes-json-schema project - which guarantees up-to-date schemas for all recent versions of Kubernetes.

• 3011 239? KubeLinter) — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.

• ？ kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.

• ChkTeX — A linter for LaTex which catches some typographic errors LaTeX oversees.

• ？ lacheck — A tool for finding common mistakes in LaTeX documents.

• ？ TeXLab — A Language Server Protocol implementation for TeX/LaTeX, including lint capabilities.

• ？ Enlightn — A static and dynamic analysis tool for Laravel applications that provides recommendations to improve the performance, security and code reliability of Laravel apps. Contains 120 automated checks.

• 5639 424? larastan) — Adds static analysis to Laravel improving developer productivity and code quality. It is a wrapper around PHPStan.

• 1048 45? checkmake)配x — Linter / Analyzer for Makefiles.

• ？ portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

• 4891 740? markdownlint) — Node.js -based style checker and lint tool for Markdown/CommonMark files.

• ？ mdformat — CommonMark compliant Markdown formatter

• 1837 230? mdl) — A tool to check Markdown files and flag style issues.

• 28 0? mdsf) — Format markdown code blocks using your favorite code formatters.

• ？ remark-lint — Pluggable Markdown code style linter written in JavaScript.

• ？ textlint — textlint is an open source text linting utility written in JavaScript.

• 26 10? ciocheck)配x — Linter, formatter and test suite helper.作为衬里，它是pep8 ， pydocstyle ， flake8和pylint周围的包装纸。

• 3488 310? flake8) — A wrapper around pyflakes , pycodestyle and mccabe .

• ？ flakeheaven — flakeheaven is a python linter built around flake8 to enable inheritable and complex toml configuration.

• 3507 267? Go Meta Linter)配x - 同时运行GO棉绒工具并将其输出标准化。 Use golangci-lint for new projects.

• 3130 271? goreporter) — Concurrently runs many linters and normalises their output to a report.

• 28 6? multilint)配x - flake8周围的包装纸， isort and modernize 。

• 1964 172? prospector) — A wrapper around pylint , pep8 , mccabe and others.

• Android Lint — Run static analysis on Android projects.

• ？ android-lint-summary配x — Combines lint errors of multiple projects into one output, check lint results of multiple sub-projects at once.

• 1084 300? FlowDroid) — Static taint analysis tool for Android applications.

• ？ iblessing配x — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• ？ Mariana Trench — Our security focused static analysis tool for Android and Java applications. Mariana Trench analyzes Dalvik bytecode and is built to run fast on large codebases (10s of millions of lines of code). It can find vulnerabilities as code changes, before it ever lands in your repository.

• ？ Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• 74 17?辣椒）配x — A toolkit to detect some code smells in analyzed Android applications.

• 3215 644? qark)配x — Tool to look for several security related Android application vulnerabilities.

• ？ redex — Redex provides a framework for reading, writing, and analyzing .dex files, and a set of optimization passes that use this framework to improve the bytecode. An APK optimized by Redex should be smaller and faster.

• 525 13? deadnix) — Scan Nix files for dead code (unused variable bindings)

• ？ statix — Lints and suggestions for the Nix programming language. "statix check" highlights antipatterns in Nix code. "statix fix" can fix several such occurrences.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ？ njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ？ Nodejsscan - 由libsast和semgrep供电的NJSSCAN CLI工具供电的Node.js应用程序的静态安全代码扫描仪。它具有有关应用程序的安全状态的UI，具有各种仪表板。

• 标准 - 一个检查JavaScript StyleGuide问题的NPM模块。

• 465 10? composer-dependency-analyser) — Fast detection of composer dependency issues.

• ？ Powerful: Detects unused, shadow and misplaced composer dependencies
• ⚡ Performant: Scans 15 000 files in 2s!
• Configurable: Fine-grained ignores via PHP config
• ?️ Lightweight: No composer dependencies
• ？ Easy-to-use: No config needed for first try
• Compatible: PHP >= 7.2

• ？ lintian — Static analysis tool for Debian packages.

• 135 117? rpmlint) — Tool for checking common errors in rpm packages.

• 35 8? promformat)配x — Promformat is a PromQL formatter written in Python.

• 4 7? promval) — PromQL validator written in Python. It can be used to validate that PromQL expressions are written as expected.

• ？ buf — Provides a CLI linter that enforces good API design choices and structure

• 588 52? protolint) — Pluggable linter and fixer to enforce Protocol Buffer style and conventions.

• 31 25? metadata-json-lint) — Tool to check the validity of Puppet metadata.json files.

• 737 86? dawnscanner) — A static analysis security scanner for ruby written web applications.它支持Sinatra，Padrino和Ruby在Rails框架上。

• ？ AZSK - 用于Azure（AZSK）的安全DEVOPS套件提供安全性智能，安全验证测试（SVTS），CICD扫描漏洞，合规性问题和基础架构错误配置在您的基础架构-AS-AS-AS代码中。 Supports Azure via ARM.

• ？ Brakeman-静态分析安全漏洞扫描仪，用于Ruby在Rails应用程序上。

• 328 49? Credential Digger) — Credential Digger is a GitHub scanning tool that identifies hardcoded credentials (Passwords, API Keys, Secret Keys, Tokens, personal information, etc), and filtering the false positive data through a machine learning model called ? Password Model. This scanner is able to detect passwords and non structured tokens with a low false positive rate.

• ？ Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies

• 3869 481? detect-secrets) — An enterprise friendly way of detecting and preventing secrets in code. It does this by running periodic diff outputs against heuristically crafted regex statements, to identify whether any new secret has been committed. This way, it avoids the overhead of digging through all git history, as well as the need to scan the entire repository every time.

• ？ Enlightn — A static and dynamic analysis tool for Laravel applications that provides recommendations to improve the performance, security and code reliability of Laravel apps. Contains 120 automated checks.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• 18218 1492? Gitleaks) — A SAST tool for detecting hardcoded secrets like passwords, api keys, and tokens in git repos.

• 2181 110? gokart) — Golang security analysis with a focus on minimizing false positives.它能够追踪变量和函数参数的来源，以确定输入源是否安全。

• ？ HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ？ iblessing配x — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.

• 2300 97? kani) — The Kani Rust Verifier is a bit-precise model checker for Rust. Kani is particularly useful for verifying unsafe code blocks in Rust, where the "unsafe superpowers" are unchecked by the compiler. Kani verifies:

• Memory safety (eg, null pointer dereferences)
• User-specified assertions (ie, assert!(...))
• The absence of panics (eg, unwrap() on None values)
• The absence of some types of unexpected behavior (eg, arithmetic overflows)

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• ？ ktool — Fully cross-platform toolkit and library for MachO+Obj-C editing/analysis. Includes a cli kit, a curses GUI, ObjC header dumping, and much more.

• ？ kube-hunter — Hunt for security weaknesses in Kubernetes clusters.

• 788 35? lockfile-lint) — Lint an npm or yarn lockfile to analyze and detect security issues

• ？ LunaSec — Open Source AppSec platform that automatically notifies you the next time vulnerabilities like Log4Shell or node-ipc happen. Track your dependencies and builds in a centralized service.

• ？ njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.

• ？ Nodejsscan - 由libsast和semgrep供电的NJSSCAN CLI工具供电的Node.js应用程序的静态安全代码扫描仪。它具有有关应用程序的安全状态的UI，具有各种仪表板。

• ？ Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.

• ？ PT Application Inspector ©️ — Identifies code flaws and detects vulnerabilities to prevent web attacks. Demonstrates remote code execution by presenting possible exploits.

• ？ Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.

• 111 23? QuantifiedCode)配x - 自动代码审核和维修。它可以帮助您跟踪软件项目中的问题和指标，并且可以轻松扩展以支持新类型的分析。

• ？ Rezilion ©️ — Discovers vulnerabilities for all components in your environment, filters out 85% non-exploitable vulnerabilities and creates a remediation plan and open tickets to upgrade components that violate your security policy and/or patch automatically in CI.

• 4672 508? scorecard) — Security Scorecards - Security health metrics for Open Source

• ？ SearchDiggity ©️ — Identifies vulnerabilities in open source code projects hosted on Github, Google Code, MS CodePlex, SourceForge, and more. The tool comes with over 130 default searches that identify SQL injection, cross-site scripting (XSS), insecure remote and local file includes, hard-coded passwords, etc.

• ？ Steampunk Spotter ©️ — Ansible Playbook Scanning Tool that analyzes and offers recommendations for your playbooks.

• ？ Symfony Insight©q - 检测安全风险，查找错误并为PHP项目提供可行的指标。

• 6739 541? tfsec) — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

• ？ trufflehog — Find credentials all over the place TruffleHog is an open source secret-scanning engine that resolves exposed secrets across your company's entire tech stack.

• 8299 896? Tsunami Security Scanner) — A general purpose network security scanner with an extensible plugin system for detecting high severity RCE-like vulnerabilities with high confidence. Custom detectors for finding vulnerabilities (eg open APIs) can be added.

• 3904 744? mythril) — A symbolic execution framework with batteries included, can be used to find and exploit vulnerabilities in smart contracts automatically.

• ？ MythX ©️ — MythX is an easy to use analysis platform which integrates several analysis methods like fuzzing, symbolic execution and static analysis to find vulnerabilities with high precision. It can be integrated with toolchains like Remix or VSCode or called from the command-line.

• 5406 982? slither) — Static analysis framework that runs a suite of vulnerability detectors, prints visual information about contract details, and provides an API to easily write custom analyses.

• ？ solhint — Solhint is an open source project created by https://protofire.io. Its goal is to provide a linting utility for Solidity code.

• ？ solium — Solium is a linter to identify and fix style and security issues in Solidity smart contracts.

• 23 7? LibVCS4j) — A Java library that allows existing tools to analyse the evolution of software systems by providing a common API for different version control systems and issue trackers.

• 460 42? RefactorFirst) — Identifies and prioritizes God Classes and Highly Coupled classes in Java codebases you should refactor first.

• 148 39? Violations Lib) — Java library for parsing report files from static code analysis. Used by a bunch of Jenkins, Maven and Gradle plugins.

• 267 237? ember-template-lint) — Linter for Ember or Handlebars templates.

• 318 101? haml-lint) — Tool for writing clean and consistent HAML.

• 210 60? slim-lint) — Configurable tool for analyzing Slim templates.

• ？ yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code.支持Terraform，Kubernetes，Docker，AWS Cloud Formation和Ansible

• 369 15? shisho)配x — A lightweight static code analyzer designed for developers and security teams.它使您可以使用类似于SED的直观DSL分析和转换源代码，但对于代码。

• 50 10? dennis) — A set of utilities for working with PO files to ease development and improve quality.

• ？ HTML-Validate — Offline HTML5 validator.

• ？ Vetur配x — Vue tooling for VS Code, powered by vls (vue language server). Vetur has support for formatting embedded HTML, CSS, SCSS, JS, TypeScript, and more. Vetur only has a "whole document formatter" and cannot format arbitrary ranges.

• ？ Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

• ？ After the Deadline配x — Spell, style and grammar checker.

• ？ alex — Catch insensitive, inconsiderate writing

• 1964 472? codespell) — Check code for common misspellings.

• ？ languagetool — Style and grammar checker for 25+ languages. It finds many errors that a simple spell checker cannot detect.

• 193 23? misspell-fixer)配x — Quick tool for fixing common misspellings, typos in source code.

• ？ Misspelled Words In Context — A spell-checker that groups possible misspellings and shows them in their contexts.

• 4368 179? proselint) — A linter for English prose with a focus on writing style instead of grammar.

• ？ vale — A syntax-aware linter for prose built with speed and extensibility in mind.

• 4966 190? write-good) — A linter with a focus on eliminating "weasel words".

• ？ Spectral — A flexible JSON/YAML linter, with out-of-the-box support for OpenAPI v2/v3 and AsyncAPI v2.

• ？ yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

• ？ commitlint — checks if your commit messages meet the conventional commit format

• ？ GitGuardian ggshield — ggshield is a CLI application that runs in your local environment or in a CI environment to help you detect more than 350+ types of secrets, as well as other potential security vulnerabilities or policy breaks affecting your codebase.

• ？ HasMySecretLeaked ©️ — HasMySecretLeaked is a project from GitGuardian that aims to help individual users and organizations search across 20 million exposed secrets to verify if their developer secrets have leaked on public repositories, gists, and issues on GitHub projects.

• ? ?? Clean code linters) — A collection of linters in github collections
• ? ?? Code Quality Checker Tools For PHP Projects) — A collection of PHP linters in github collections
• 6262 377? go-tools) — A collection of tools and libraries for working with Go code, including linters and static analysis
• 342 31? linters) — An introduction to static code analysis
• ？ OWASP Source Code Analysis Tools — List of tools maintained by the Open Web Application Security Project
• 2827 245? php-static-analysis-tools) — A reviewed list of useful PHP static analysis tools
• Wikipedia — A list of tools for static code analysis.

To the extent possible under law, ? Matthias Endler has waived all copyright and related or neighboring rights to this work. The underlying source code used to format and display that content is licensed under the MIT license.

Title image Designed by Freepik.

13455 1361? analysis-tools-dev/static-analysis)