首頁>JSP源碼>其他類別
下載

靜態分析工具

令人敬畏的漏洞掃描軟件,庫和框架,最佳準則和技術資源以及最重要的靜態應用程序安全測試(SAST)的持續和精選集合

What is Static Analysis?

靜態分析是通過檢查代碼而無需執行應用程序的測試和評估。

靜止的

Why Static Code Analysis is important?

它檢查了所有可能的執行路徑和可變值,而不僅僅是在執行過程中調用的值。因此,靜態分析可以揭示出可能直到發布後幾週,幾個月或幾年才能表現出來的錯誤。靜態分析的這一方面在安全保證中尤其有價值,因為安全攻擊通常以不可預見和未經測試的方式行使應用程序。

Table of Contents

程式設計語言

展示語言
  • abap
  • 艾達
  • 集會
  • 尷尬
  • c
  • C#
  • C ++
  • 克洛傑爾
  • 咖啡本
  • 水晶
  • 德爾菲
  • Dlang
  • 長生不老藥
  • 榆樹
  • Erlang
  • F#
  • Fortran
  • Groovy
  • 哈斯克爾
  • 哈克斯
  • 爪哇
  • JavaScript
  • 朱莉婭
  • 科特林
  • 盧阿
  • MATLAB
  • 尼姆
  • OCAML
  • php
  • PL/SQL
  • 珀爾
  • Python
  • r
  • 紅寶石
  • SQL
  • Scala
  • 迅速
  • TCL
  • 打字稿
  • vbscript
  • Verilog/Systemverilog
  • vim腳本

多種語言

其他

  • Ansible
  • Azure Resource Manager
  • 二進制
  • 構建工具
  • CSS/SASS/SCSS
  • 配置文件
  • 配置管理
  • 容器
  • 連續整合
  • 丹諾
  • 嵌入
  • 嵌入式紅寶石(又名ERB,Eruby)
  • 小黃瓜
  • html
  • JSON
  • Kubernetes
  • 乳膠
  • 拉拉維爾
  • makefiles
  • 降價
  • 金屬因
  • 移動的
  • 尼克斯
  • node.js
  • 軟件包
  • 協議緩衝區
  • 木偶
  • 鐵軌
  • 安全/薩斯特
  • 智能合約
  • 支持
  • 模板語言
  • Terraform
  • 翻譯
  • vue.js
  • WebAssembly
  • 寫作
  • yaml
  • git

Programming Languages

abap

  • Abaplint - 用打字稿編寫的ABAP的Linter。
  • Abapopenchecks - 使用新的和可自定義的檢查來增強SAP代碼檢查器。

艾達

  • CodePeer©️-檢測運行時和邏輯錯誤。
  • ADA©️的PolySpace - 提供代碼驗證,以證明沒有溢出,按零劃分,隔離陣列訪問以及源代碼中的某些其他運行時錯誤。
  • Spark©找ADA的靜態分析和正式驗證工具集。

集會

  • 斯托克配x - 針對X86_64指令集的編程語言不可知性隨機優化器。它使用隨機搜索來探索所有可能的程序轉換的極高維度。

尷尬

  • gawk-細小的 - 警告說,這些構造對其他AWK實施是可疑或不可或缺的。

c

  • Astrée©找 - Astrée自動證明了C/C ++應用程序中沒有運行時錯誤和無效的並發行為。它聽起來很快,非常快,而且非常精確。該分析儀還檢查MISRA/CERT/CWE/自適應汽車編碼規則,並支持ISO 26262,DO-178C級別A級和其他安全標準的資格。可以提供Jenkins和Eclipse插件。
  • CBMC - 用於C程序的有限模型檢查器,用戶定義的斷言,標準斷言,幾個覆蓋範圍度量分析。
  • Clang-Tidy - Clang靜態分析儀。
  • Clazy - 基於Clang框架的面向QT的靜態代碼分析儀。 Clazy是一個編譯器插件,它允許Clang了解QT語義。您會收到50多個QT相關的編譯器警告,從不需要的記憶分配到誤用API,包括用於自動重構的修復程序。
  • CMetrics - 衡量C文件的大小和復雜性。
  • CPACHECKER - 用於C程序的可配置軟件驗證的工具。選擇CPACHECKER的名稱是為了反映該工具基於CPA概念,用於檢查軟件程序。
  • CPPCHECK - C/C ++代碼的靜態分析。
  • 依賴配x ©找 - 測量,查詢和可視化您的代碼,避免意外的問題,技術債務和復雜性。
  • CPPLINT - 遵循Google樣式指南的自動化C ++檢查器。
  • CQmetrics - C代碼的質量指標。
  • CSCOUT配x - 用於C和C預處理器代碼的複雜性和質量指標。
  • ESBMC - ESBMC是一個開源,基於可滿足的模型理論,可以驗證單線和多線程C/C/C ++程序的允許許可,上下文結合的模型檢查器。
  • 缺點 - 發現可能的安全弱點。
  • Flint ++ - Flint的跨平台,零依賴性端口,這是一個在Facebook上開發和使用的C ++的棉絨程序。
  • Frama-C- C代碼的聲音且可擴展的靜態分析儀。
  • Helix QAC©️-用於嵌入式軟件的企業級靜態分析。支持MISRA,CERT和AUTOSAR編碼標準。
  • IKO-基於LLVM的C/C ++代碼的聲音靜態分析儀。
  • Joern - 基於代碼屬性圖的C/C ++的開源代碼分析平台
  • LDRA©️-包括Misra C&C ++,JSF ++ AV,CWE,CWE,CWE,CWE,CWE,CERT C,CERT C ++和自定義規則在內的各種標準的工具套件。
  • PC-lint©️-C/C ++的靜態分析。在Windows/Linux/MacOS下本地運行。分析幾乎任何平台的代碼,支持C11/C18和C ++ 17。
  • PHASAR - 基於LLVM的靜態分析框架,帶有污點和類型狀態分析。
  • PolySpace錯誤查找器©️-標識C和C ++嵌入式軟件中的運行時錯誤,並發問題,安全漏洞和其他缺陷。
  • PolySpace代碼供供您©️-提供代碼驗證,以證明缺乏溢出,按零,距離陣列訪問以及C和C ++源代碼中的某些其他運行時錯誤。
  • 掃描構建 - 在編譯時使用LLVM分析C/C ++代碼。
  • 夾板 - 註釋輔助靜態程序檢查器。
  • SVF - 一種靜態工具,可實現C和C ++程序的可擴展和精確的分解依賴性分析。
  • Vera ++ - Vera ++是用於驗證,分析和轉換C ++源代碼的可編程工具。

C#

  • .NET Analyzers - 使用.NET編譯器平台開發分析儀(診斷和代碼修復)的組織。
  • Archunitnet - AC#架構測試庫,用於在C#中指定和主張架構規則,以進行自動測試。
  • Code-cracker - 用於C#和VB的分析儀庫,該庫使用Roslyn生產重構,代碼分析和其他味道。
  • csharpessentials配x - C#Essentials是Roslyn診斷分析儀,代碼修復和重構的集合,使其易於使用C#6語言功能。
  • DesignIte©找 - Designite支持檢測各種體系結構,設計和實施氣味,各種代碼質量指標的計算以及趨勢分析。
  • Gendarme - Gendarme檢查包含ECMA CIL格式(Mono和.NET)代碼的程序和庫。
  • 推斷# - Infersharp(也稱為推論#)是C#的概要室和可擴展的靜態代碼分析儀。通過Facebook推斷的功能,該工具可檢測到無指針效率和資源洩漏。
  • ndepperiation©找 - 測量,查詢和可視化您的代碼,避免意外的問題,技術債務和復雜性。
  • PUMA掃描 - PUMA掃描為開發團隊在Visual Studio中編寫代碼,提供了常見漏洞(XSS,SQLI,CSRF,LDAPI,Crypto,delelialization等)的實時安全代碼分析。
  • Roslynator - 由羅斯林(Roslyn)提供支持的190多種分析儀和190多個重構。
  • VSDIAGNOSTICS配x - 基於羅斯林(Roslyn)的靜態分析儀的集合,該分析儀與VS集成。
  • Wintellect.Analyzers - .NET編譯器平台(“ Roslyn”)診斷分析儀和代碼修復程序。

C ++

  • Astrée©找 - Astrée自動證明了C/C ++應用程序中沒有運行時錯誤和無效的並發行為。它聽起來很快,非常快,而且非常精確。該分析儀還檢查MISRA/CERT/CWE/自適應汽車編碼規則,並支持ISO 26262,DO-178C級別A級和其他安全標準的資格。可以提供Jenkins和Eclipse插件。
  • CBMC - 用於C程序的有限模型檢查器,用戶定義的斷言,標準斷言,幾個覆蓋範圍度量分析。
  • Clang-Tidy - Clang靜態分析儀。
  • Clazy - 基於Clang框架的面向QT的靜態代碼分析儀。 Clazy是一個編譯器插件,它允許Clang了解QT語義。您會收到50多個QT相關的編譯器警告,從不需要的記憶分配到誤用API,包括用於自動重構的修復程序。
  • CMetrics - 衡量C文件的大小和復雜性。
  • CPPCHECK - C/C ++代碼的靜態分析。
  • 依賴配x ©找 - 測量,查詢和可視化您的代碼,避免意外的問題,技術債務和復雜性。
  • CPPLINT - 遵循Google樣式指南的自動化C ++檢查器。
  • CQmetrics - C代碼的質量指標。
  • CSCOUT配x - 用於C和C預處理器代碼的複雜性和質量指標。
  • ESBMC - ESBMC是一個開源,基於可滿足的模型理論,可以驗證單線和多線程C/C/C ++程序的允許許可,上下文結合的模型檢查器。
  • 缺點 - 發現可能的安全弱點。
  • Flint ++ - Flint的跨平台,零依賴性端口,這是一個在Facebook上開發和使用的C ++的棉絨程序。
  • Frama-C- C代碼的聲音且可擴展的靜態分析儀。
  • Helix QAC©️-用於嵌入式軟件的企業級靜態分析。支持MISRA,CERT和AUTOSAR編碼標準。
  • IKO-基於LLVM的C/C ++代碼的聲音靜態分析儀。
  • Joern - 基於代碼屬性圖的C/C ++的開源代碼分析平台
  • LDRA©️-包括Misra C&C ++,JSF ++ AV,CWE,CWE,CWE,CWE,CWE,CERT C,CERT C ++和自定義規則在內的各種標準的工具套件。
  • PC-lint©️-C/C ++的靜態分析。在Windows/Linux/MacOS下本地運行。分析幾乎任何平台的代碼,支持C11/C18和C ++ 17。
  • PHASAR - 基於LLVM的靜態分析框架,帶有污點和類型狀態分析。
  • PolySpace錯誤查找器©️-標識C和C ++嵌入式軟件中的運行時錯誤,並發問題,安全漏洞和其他缺陷。
  • PolySpace代碼供供您©️-提供代碼驗證,以證明缺乏溢出,按零,距離陣列訪問以及C和C ++源代碼中的某些其他運行時錯誤。
  • 掃描構建 - 在編譯時使用LLVM分析C/C ++代碼。
  • 夾板 - 註釋輔助靜態程序檢查器。
  • SVF - 一種靜態工具,可實現C和C ++程序的可擴展和精確的分解依賴性分析。
  • Vera ++ - Vera ++是用於驗證,分析和轉換C ++源代碼的可編程工具。

克洛傑爾

  • CLJ-KONDO - 一種引發喜悅的Clojure代碼的襯裡。它會在打字時告知您可能出現的潛在錯誤。

咖啡本

  • Coffeelint - 一種風格的檢查器,可幫助保持咖啡本代碼清潔和一致。

水晶

  • Ameba - 一種用於晶體的靜態代碼分析工具。
  • 晶體 - 晶體編譯器具有內置的刺激功能。

  • DART代碼指標 - 飛鏢的附加襯裡。報告代碼指標,檢查反模式,並為DART Analyzer提供其他規則。
  • 有效_dart - 與有效DART指南相對應的林格規則
  • 棉絨 - 一套由社區驅動的,針對飛鏢和撲朔迷離項目的一套絨毛規則。喜歡pedantic但更嚴格
  • 飛鏢的襯裡 - 飛鏢的樣式襯裡。

德爾菲

  • 修復Insight©️-用於靜態代碼分析的免費IDE插件。專業版包含用於自動化目的的命令行工具。
  • Pascal Analyzer©找 - 帶有大量報告的靜態代碼分析工具。免費的Lite版本具有有限的報告。
  • Pascal Expert© -IDE插件用於代碼分析。包括Pascal分析儀報告功能的子集,可用於2007年及以後的Delphi版本。

Dlang

  • D-Scanner - D-Scanner是分析D源代碼的工具。

長生不老藥

  • Credo - 一種靜態代碼分析工具,重點是代碼一致性和教學。
  • 透析 - 混合任務以簡化長生不老藥項目中的透析儀的使用。
  • Sobelow - 鳳凰框架以安全為重點的靜態分析。

榆樹

  • 榆樹分析配x - 一種允許您分析ELM代碼,識別缺陷並應用最佳實踐的工具。
  • ELM-REVIEW - 分析整個ELM項目,重點是用ELM編寫的可共享和自定義規則,以保證ELM編譯器不會給您。

Erlang

  • 透明師 - 透裡策是ERLANG程序的差異分析儀。透明劑是一種靜態分析工具,可識別軟件差異,例如確定的類型錯誤,由於編程錯誤而變已死或無法實現的代碼,並且在單個ERLANG模塊或整個應用程序集中(集合)中已不必要的測試。透明師從調試計算的Beam字節碼或Erlang源代碼開始其分析。報告了差異的文件和行號,並指示差異的內容。 Dialyzer基於成功鍵入概念的分析,該概念允許發出聲音警告(無誤報)。
  • 貓王 - Erlang風格的評論員。
  • 原始Erlang安全工具(PEST) - 進行ERLANG源代碼基本掃描並報告可能導致Erlang源代碼不安全的任何功能調用的工具。

F#

  • FSHARPLINT - F#的棉絨工具。

Fortran

  • I代碼CNES fortran配x - Fortran 77,Fortran 90和Shell的開源靜態代碼分析工具。

  • AlignCheck - 查找效率低下的結構。
  • BodyClose - 檢查HTTP響應主體是否關閉。
  • DEADCODE - 找到未使用的代碼。
  • 野狗配x - 靜態分析儀,用於在GO中尋找僵局。
  • 狗狗 - 找到空白標識符太多的作業/聲明。
  • Dupl配x - 報告可能重複的代碼。
  • errcheck - 檢查使用錯誤返回值。
  • ERRWRAP - 使用新的%W動詞指令包裝和修復GO錯誤。該工具分析FMT.ERRORF()調用和報告調用,其中包含與GO v1.13中引入的新%W動詞指令不同的動詞指令。它還能夠重寫使用新的%W Wrap Verb指令。
  • FLEN - 獲取有關GO軟件包中功能長度的信息。
  • Go Meta Linter配x - 同時運行GO棉絨工具並將其輸出標準化。將golangci-lint用於新項目。
  • Go Tool Vet -Shadow-報告可能無意間陰影的變量。
  • GO VET - 檢查源代碼並報告可疑。
  • 一致配x - 分析儀可幫助您使GO計劃更加一致。
  • Go-Critic - GO源代碼襯裡,該固定器保持檢查當前未在其他Linter中實現的檢查。
  • GO/AST - 軟件包AST聲明用於代表GO包的語法樹的類型。
  • gochecknoglobals - 檢查是否存在任何全球群體。
  • GoConst - 找到可以用常數代替的重複字符串。
  • GoCyclo - 計算GO源代碼中功能的循環複雜性。
  • GOFMT -S-檢查代碼是否正確格式化,無法進一步簡化。
  • Goimports - 檢查丟失或未參考的軟件包導入。
  • Gokart - Golang Security Analysis,重點是最大程度地減少誤報。它能夠追踪變量和函數參數的來源,以確定輸入源是否安全。
  • Golangci-lint - Go Meta Linter的替代方法:Golangci-lint是襯裡聚合器。
  • GOLINT - 在GO源代碼中打印出編碼樣式錯誤。
  • Goreporter-同時運行許多襯裡,並將其輸出歸為報告。
  • Goroutine-provers-分析Golang Goroutine轉儲的交互工具。
  • GOSEC(GAS) - 通過掃描GO AST檢查源代碼是否有安全問題。
  • GoType - 類似於GO編譯器的句法和語義分析。
  • 效率調查 - 檢測GO代碼中的無效分配。
  • 互換器配x - 建議可以使用的較窄界面。
  • lll配x - 報告長行。
  • 惡意 - 檢測結構,如果將其字段分類,將減少內存。
  • 拼寫錯誤 - 發現通常拼寫錯誤的英語單詞。
  • Nakedret - 找到赤裸裸的回報。
  • NARGS - 在功能聲明中找到未使用的論點。
  • PREALLOC - 找到可能會預先分配的切片聲明。
  • ReviewDog - 一種用於在任何代碼託管服務中發表任何林格的評論評論的工具。
  • 復活 - 快速,可配置,可擴展,靈活和美麗的襯裡。滴定golint。
  • SAFESQL - golang的靜態分析工具,可預防SQL注射。
  • Shisho - 專為開發人員和安全團隊設計的輕質靜態代碼分析儀。它使您可以使用類似於SED的直觀DSL分析和轉換源代碼,但對於代碼。
  • 靜態檢查 - 專門研究錯誤,簡化代碼和提高性能的靜態分析。
  • 結構檢查 - 找到未使用的結構字段。
  • structslop - GO的靜態分析儀,該分析儀建議結構場現場重排以提供最大的空間/分配效率
  • 測試 - 顯示來自STDLIB測試模塊的測試故障的位置。
  • 不轉折配x - 檢測冗餘類型轉換。
  • UNPARAM - 找到未使用的功能參數。
  • Varcheck - 找到未使用的全局變量和常數。
  • WSL - 在正確的位置執行空線。

Groovy

  • CODENARC - 一種用於源代碼的靜態分析工具,可以監視和執行許多編碼標準和最佳實踐。

哈斯克爾

  • 布列塔尼 - 哈斯克爾源代碼格式化
  • HLINT - HLINT是建議對Haskell代碼進行改進的工具。
  • Stan - Stan是用於分析Haskell項目和輸出發現的漏洞的命令行工具,並使用可能的解決方案來解決問題。
  • 除草劑 - 一種用於檢測Haskell代碼中死亡出口或包裝進口的工具。

哈克斯

  • HAXE CHECKSTYLE - 一種靜態分析工具,可幫助開發人員編寫遵守編碼標準的HAXE代碼。

爪哇

  • Checker框架 - 可插入Java的類型檢查。
  • CheckStyle - 檢查Java源代碼是否遵守代碼標准或一組驗證規則(最佳實踐)。
  • CK - 通過處理源Java文件來計算Chidamber和Kemerer面向對象的指標。
  • CKJM - 通過處理編譯的Java文件的字節碼來計算Chidamber和Kemerer面向對象的指標。
  • Cognicrypt - 檢查Java源和字節代碼是否不正確使用加密API。
  • DesignIteJava©️-DesignIteJava支持檢測各種體系結構,設計和實現的氣味,併計算各種代碼質量指標。
  • DOOP - DOOP是針對Java/Android程序進行靜態分析的聲明框架,以指針分析算法為中心。 DOOP提供了各種各樣的分析以及周圍的腳手架,以端到端進行分析(事實生成,處理,統計等)。
  • 容易出錯 - 捕獲常見的Java錯誤作為編譯時錯誤。
  • FB-Contrib - 帶有其他錯誤檢測器的Findbugs的插件。
  • 禁止 - 檢測和禁止特定方法/類/字段的調用(例如從沒有charset的文本流讀取)。 Maven/gradle/ant兼容。
  • Google-Java-Format- Google Style Regrat。
  • 獵人配x - 基於Procyon編譯器工具的字節碼靜態分析儀工具,旨在取代發現蟲。
  • Intellij Idea©️-與Java和Kotlin的大量檢查捆綁在一起,其中包括用於重構,格式化等的工具。
  • jarchitect©️-測量,查詢和可視化您的代碼,避免意外問題,技術債務和復雜性。
  • JBMC - Java(字節碼)的有限模型檢查器,驗證用戶定義的斷言,標準斷言,幾個覆蓋範圍度量分析。
  • Nullaway - 基於類型的Null-Pointer檢查器,其構建時間較低;一個容易發生的插件。
  • OWASP依賴性檢查 - 檢查已知,公開披露的漏洞的依賴項。
  • Qulice - 結合了一些(預配置)靜態分析工具(CheckStyle,PMD,Findbugs,...)。
  • Reshift©️-用於檢測和管理Java安全漏洞的源代碼分析工具。
  • 煙灰 - 分析和轉換Java和Android應用的框架。
  • 湯匙 - 勺子是一個元編程庫,用於分析和轉換Java源代碼(包括Java 9、10、11、12、13、14)。它解析了源文件,以構建具有強大分析和轉換API的精心設計的AST。可以集成在Maven和Gradle中。
  • Spotbugs - Spotbugs是Findbugs的繼任者。用於靜態分析的工具,可以在Java代碼中查找錯誤。
  • 違反LIB - 用於解析報告文件的Java庫。由一堆Jenkins,Maven和Gradle插件使用。

JavaScript

  • 配x - 在節點或瀏覽器中,棉絨,分析,歸一化,變換,沙盒,運行,逐步並可視化用戶JavaScript。
  • 關閉編譯器 - 一種編譯器工具,可提高效率,降低尺寸並在JavaScript文件中提供代碼警告。
  • 閉合配x - 確保所有項目的JavaScript代碼遵循Google JavaScript樣式指南中的指南。它還可以自動解決許多常見錯誤。
  • 複雜性報告配x - JavaScript項目的軟件複雜性分析。
  • DeepScan©️-用於針對運行時錯誤和質量問題而不是編碼約定的JavaScript的分析儀。
  • ES6-Plato - 可視化JavaScript(ES6)源複雜性。
  • eScomplex配x - JavaScript家庭抽象語法樹的軟件複雜性分析。
  • ESPRIMA - 用於多功能分析的Ecmascript解析基礎架構。
  • 流 - JavaScript的靜態型檢查器。
  • 黑格爾 - 一種靜態類型的javaScript的靜態檢查器,對類型推理和強類型系統具有偏差。
  • JShint - 檢測JavaScript代碼中的錯誤和潛在問題,並執行團隊的編碼約定。
  • JSlint - JavaScript代碼質量工具。
  • JSprime配x - 靜態安全分析工具。
  • Nodejsscan - 由libsast和semgrep供電的NJSSCAN CLI工具供電的Node.js應用程序的靜態安全代碼掃描儀。它具有有關應用程序的安全狀態的UI,具有各種儀表板。
  • 柏拉圖配x - 可視化JavaScript源複雜性。
  • 聚合物 - 分析儀 - 網絡組件的靜態分析框架。
  • retire.js - 掃描儀檢測使用具有已知漏洞的JavaScript庫的使用。
  • rslint-(WIP)JavaScript Linter用Rust編寫的旨在盡可能快,可自定義且易於使用。
  • 標準 - 一個檢查JavaScript StyleGuide問題的NPM模塊。
  • Tern - 用於深層編輯語言支持的JavaScript代碼分析儀。
  • typl - 使用TYPL,您只需編寫完全標準的JS,該工具通過強大的推論來弄清您的類型。
  • XO - 自以為是但可配置的Eslint包裝紙,其中包括許多醣果。執行嚴格且可讀的代碼。
  • 尺度配x - JavaScript代碼指標。

朱莉婭

  • 靜態 - 朱莉婭的靜態代碼分析

科特林

  • Detekt - Kotlin代碼的靜態代碼分析。
  • DIKTAT - Kotlin的嚴格編碼標準以及檢測和自動固定代碼氣味的襯裡。
  • KTLINT-一種帶有內置格式化器的反騎自行車的Kotlin Linter。

盧阿

  • 盧阿切克配x - LUA代碼的覆蓋和靜態分析的工具。
  • lualint- lualint對LUA源代碼中的全局可變使用情況進行基於LUAC的靜態分析。
  • luanalysis-靜態輸入LUA發育的IDE。

MATLAB

  • MLINT©找 - 檢查MATLAB代碼文件是否可能出現問題。

尼姆

  • DRNIM - DRNIM將NIM前端與Z3防止引擎相結合,以允許用NIM編寫的驗證 /驗證軟件。
  • NIMFMT - NIM代碼格式化 / Linter /樣式檢查器

OCAML

  • 系統配x - 用於在(瀏覽器)代碼中查找錯誤的靜態/符號工具。它使用LLVM AST查找諸如非初始化內存訪問之類的錯誤。
  • VERIFAST - 一種模塊化形式驗證單線程和多線程C和Java程序的正確性屬性的工具,該程序用以分離邏輯編寫的前提條件和後條件註釋。為了表達丰富的規格,程序員可以定義歸納數據類型,這些數據類型上的原始遞歸純函數以及抽象的分離邏輯謂詞。

php

  • Churn-PHP - 幫助發現良好的重構候選人。
  • DEPHPEND - 依賴分析工具。
  • 棄用檢測器 - 查找折舊(Symfony)代碼的用法。
  • DEPTRAC - 軟件層之間依賴關係的規則。
  • DesignPatterndetector - PHP代碼中設計模式的檢測。
  • EasyCodingStandard - 將php_codesniffer和php-cs-fixer組合在一起。
  • Enlightn - 用於Laravel應用程序的靜態和動態分析工具,可提供建議,以提高Laravel應用程序的性能,安全性和代碼可靠性。包含120張自動檢查。
  • EXAKAT - PHP的自動代碼審查引擎。
  • grumphp - 在每個提交中檢查代碼。
  • 拉斯坦(Larastan) - 為Laravel添加了靜態分析,從而提高了開發人員的生產率和代碼質量。它是phpstan周圍的包裝紙。
  • 蒙德里安配x - 使用圖理論的一組靜態分析和重構工具。
  • Nitpick CI©️-自動化的PHP代碼評論。
  • 並行細緻 - 此工具比串行檢查更快地檢查PHP文件的語法。
  • 解析 - 靜態安全掃描儀。
  • pdection-計算PHP代碼的循環複雜性等軟件指標。
  • Phan - 來自Etsy的現代靜態分析儀。
  • PHP體系結構測試儀 - 易於使用的php體系結構測試工具。
  • PHP假設 - 檢查弱假設。
  • PHP編碼標準修復程序 - 根據PSR-1,PSR-2和Symfony標準等標準修復您的代碼。
  • PHP Insights - 從您的控制台進行即時PHP質量檢查。代碼質量和編碼樣式的分析以及代碼架構及其複雜性的概述。
  • PHP檢查(EA擴展) - PHP的靜態代碼分析儀。
  • PHP重構瀏覽器 - 重構助手。
  • PHP語義版本控制檢查器 - 根據語義版本提出下一個版本。
  • php-parser - 用php編寫的PHP解析器。
  • php-speller - php咒語檢查庫。
  • PHP反射配x - 模擬PHP內部反射的庫。
  • php7cc配x - PHP 7兼容性檢查器。
  • PHP7 -MAR配x - 協助開發人員將其代碼快速移植到PHP 7。
  • php_codesniffer - 檢測違反定義的編碼標準集。
  • PHPCA配x - 找到非建造的擴展名的用法。
  • PHPCPD - PHP代碼的複制/粘貼檢測器。
  • phpdcd配x - PHP代碼的死亡代碼檢測器(DCD)。
  • PHPSTIPENTANALYSY分析配x - 為項目構建依賴圖。
  • PHPDEPRECATIONDETECTOR - PHP代碼的分析儀,以搜索新的解釋器版本中不棄用功能的問題。它找到了刪除的對象(功能,變量,常數和INI導演),棄用功能的功能以及禁止名稱或技巧的用法(例如,較新版本中的保留標識符)。
  • phpdoc-typehint配x - 使用PHPDOC註釋將標量類型提示和返回類型添加到現有的PHP項目中。
  • phpdocumentor-分析PHP源代碼以生成文檔。
  • PHPLOC - 一種用於快速測量大小和分析PHP項目結構的工具。
  • phpmd - 在您的代碼中找到可能的錯誤。
  • phpmetrics - 計算和可視化各種代碼質量指標。
  • phpmnd - 有助於檢測魔術數字。
  • PHPQA - 一種運行QA工具的工具(PHPLOC,PHPCPD,PHPCS,PDEPENT,PDEPENT,PHPMD,PHPMETRICS)。
  • PHPQA -JAKZAL - 一個容器中用於PHP靜態分析的許多工具。
  • PHPQA-JMolivas - PHPQA多合一分析儀CLI工具。
  • phpsa配x - PHP的靜態分析工具。
  • PHPSTAN - PHP靜態分析工具 - 在您的代碼中發現錯誤而無需運行!
  • ProgPilot - 用於安全目的的靜態分析工具。
  • 詩篇 - 用於在PHP應用程序中查找類型錯誤的靜態分析工具。
  • Qafoo質量分析儀配x - 可視化指標和源代碼。
  • Symfony Insight©q - 檢測安全風險,查找錯誤並為PHP項目提供可行的指標。
  • 圖裡 - 靜態分析引擎。
  • 樹枝 - 薄荷 - 樹枝 - 薄荷是您的樹枝文件的棉絨工具。
  • WAP - 在PHP(4.0或更高)Web應用程序中檢測和糾正輸入驗證漏洞的工具,並通過結合靜態分析和數據挖掘來預測誤報。

PL/SQL

  • ZPA - Z PL/SQL分析儀(ZPA)是PL/SQL和Oracle SQL的可擴展代碼分析儀。它可以與Sonarqube集成。

珀爾

  • perl ::評論家 - 最佳實踐的評論perl源代碼。

Python

  • 強盜 - 在Python代碼中查找常見安全問題的工具。
  • Bellybutton - 支持定制項目特定規則的覆蓋引擎。
  • 黑色 - 毫不妥協的Python代碼格式。
  • 投球手 - 現代Python的安全代碼重構。圓頂硬禮帽是在語法樹級別操縱python的重構工具。它可以實現安全的大規模代碼修改,同時確保所得代碼編譯和運行。它提供一個簡單的命令行接口和Python中的Fluent API,用於在代碼中生成複雜的代碼修改。
  • Ciocheck配x - 襯裡,格式和測試套件輔助器。作為襯裡,它是pep8pydocstyleflake8pylint周圍的包裝紙。
  • 凝聚配x - 一種測量Python類凝聚力的工具。
  • DLINT - 確保Python代碼安全的工具。
  • FIXIT - 用於創建棉絨規則和源代碼的相應自動修復的框架。
  • Flake8-圍繞pyflakespycodestylemccabe包裝紙。
  • Inspectorger配x - Inspecor Tiger是現代Python代碼審查工具 /框架。它帶有一堆預定義的處理程序,警告您有關改進和可能的錯誤。除了這些處理程序外,您還可以編寫自己的書面或使用社區。
  • 絕地武士 - Python的自動完成/靜態分析庫。
  • Linty Fresh - 解析毛刺錯誤,並將其報告給Github作為拉的請求的評論。
  • McCabe - 檢查McCabe的複雜性。
  • 多曲線配x - flake8周圍的包裝紙, isort and modernize
  • Mypy-一種靜態型檢查器,旨在結合鴨打字和靜態打字的好處,經常與MonkeyType一起使用。
  • 探礦者 - pylintpep8mccabe等周圍的包裝紙。
  • py-find注入配x - 在Python代碼中找到SQL注入漏洞。
  • Pyanalyze - 一種用於檢測Python代碼中常見錯誤的工具,例如對未定義變量的引用和類型錯誤。可以擴展以添加其他規則並執行特定於特定功能的檢查。
  • PyCodequal©️-PyCodequal使您深入了解複雜性和錯誤風險。它為您的拉請求添加了自動評論。
  • PyCodestyle - (以前是pep8 )根據PEP 8中的某些樣式慣例檢查Python代碼。
  • PYDOCSTYLE - 檢查符合Python Docstring慣例。
  • PYFLAKES - 檢查Python源文件是否錯誤。
  • PYLINT - 尋找編程錯誤,有助於執行編碼標準,並嗅探某些代碼氣味。它還包括pyreverse (一個UML圖生成器)和symilar (相似性檢查器)。
  • Pyre-Check-大型Python代碼庫的快速,可擴展類型的檢查器。
  • Pyright - Python的靜態型檢查器,為解決Mypy等現有工具中的差距而創建。
  • PYTHON項目的評價如何符合Python包裝生態系統的最佳實踐,並列出了可以改善的問題。
  • PYSA - 一種基於Facebook的Pyre-Check的工具,可在使用Taint Analysis確定的Python代碼中確定潛在的安全問題。
  • pyt- python taint配x - 用於檢測Python Web應用程序中安全漏洞的靜態分析工具。
  • Pytype - Python代碼的靜態類型分析儀。
  • 量化碼配x - 自動代碼審核和維修。它可以幫助您跟踪軟件項目中的問題和指標,並且可以輕鬆擴展以支持新類型的分析。
  • ra-一種計算來自源代碼的各種指標的Python工具。
  • 不符號 - 林格,用於查找和刪除未使用的導入語句的格式。
  • 禿鷹 - 在Python代碼中找到未使用的類,功能和變量。
  • Wemake-Python-Styleguide - 有史以來最嚴格,最有見識的Python Linter。
  • WILY - 用於歸類,探索和繪製Python源代碼複雜性的命令行工具。
  • XENON - 使用radon監視代碼複雜性。

r

  • 循環 - 量化R函數 /表達式的循環複雜性。
  • GoodPractice - 分析R軟件包的源代碼,並提供最佳實踐建議。
  • LINTR - R的靜態代碼分析。
  • Styler - R源代碼文件的格式和R代碼的完美打印。

紅寶石

  • Brakeman-靜態分析安全漏洞掃描儀,用於Ruby在Rails應用程序上。
  • Bundler-Audit - 審計Gemfile.Lock for Ruby Advisory數據庫中報告的具有安全漏洞的寶石。
  • 甘蔗配x - 代碼質量閾值檢查作為您的構建的一部分。
  • DawnScanner - Ruby書面Web應用程序的靜態分析安全掃描儀。它支持Sinatra,Padrino和Ruby在Rails框架上。
  • ERB絨毛 - 棉絨您的ERB或HTML文件
  • 更快 - 普通紅寶石習慣檢查器。
  • FLAY - FLAY分析結構相似性的代碼。
  • Flog - 鞭log在易於閱讀的疼痛報告中報告了最受折磨的代碼。分數越高,代碼中的痛苦就越大。
  • 福生 - 一種用於測量Ruby類文件中代碼複雜性的工具。它的分析基於循環複雜性算法產生分數,沒有添加的“意見”。
  • 雷射配x - 紅寶石代碼的靜態分析和样式襯裡。
  • PELUSA - 靜態分析薄荷型工具,可改善您的OO紅寶石代碼。
  • 品質配x - 使用社區工具對您的代碼進行質量檢查,並確保您的數字隨著時間的流逝不會變得更糟。
  • Querly - Ruby的基於模式的檢查工具。
  • 鐵路配x - Ruby在Rails應用程序上的開源靜態分析安全漏洞掃描儀。
  • rails_best_practices-鐵軌項目的代碼度量工具
  • Reek - 紅寶石的代碼氣味探測器。
  • RuboCop - 基於社區紅寶石風格指南的Ruby靜態代碼分析儀。
  • Rubrowser - Ruby類交互式依賴圖生成器。
  • 紅寶石薄荷配x - Ruby的靜態代碼分析。
  • 紅寶石 - 紅寶石代碼質量記者。
  • RUFO - 一種自以為是的Ruby Formatter,旨在通過命令行用作文本編輯插件,以在保存或需求上自動構造文件。
  • Saikuro配x - 紅寶石循環複雜性分析儀。
  • 砂儀配x - 用於檢查Sandi Metz規則的Ruby Code的靜態分析工具。
  • 冰糕 - 為Ruby設計的快速,強大的類型的檢查器。
  • 標準紅寶石 - 紅寶石樣式指南,帶有襯里和自動代碼修復器
  • 陡峭 - 漸進的紅寶石。

  • C2RUST - C2RUST可幫助您遷移符合C99的代碼生鏽。翻譯器(或轉介儀)產生不安全的鏽蝕代碼,與輸入C代碼緊密反映。
  • 貨物UDEPS - 在貨物中找到未使用的依賴項。它要么打印出列出板條箱的“未使用的板條箱”線,要么打印出一條線,說沒有板條箱沒有使用。
  • 貨物審計 - 審計貨物量car carto cargo carte calte crate calte carte carte to Rustsec Advisory數據庫報告。
  • 貨運 - 找出如何使您的可執行文件中的大部分空間。支持Elf(Linux,BSD),Mach-O(MacOS)和PE(Windows)二進製文件。
  • 貨運 - 用於覆蓋依賴性的貨物插件。它也可以用作命令行,鏽蝕箱或CI的GitHub動作。它檢查有效的許可證信息,重複的板條箱,安全漏洞等。
  • 貨物擴展 - 貨物子命令顯示了宏擴展的結果,並應用於當前板條箱的擴展。這是圍繞更詳細的編譯器命令的包裝。
  • 貨物的指示 - 在沒有句法糖的情況下檢查生鏽代碼,以查看編譯器在窗簾後面的作用。
  • 貨物塞克 - 與Hunspell(Ready)和Languagetool(Preview)檢查所有文檔有關拼寫和語法錯誤的文檔
  • Clippy - 一個捕獲常見錯誤並改善生鏽代碼的代碼襯裡。
  • Dylint - 一種從動態庫中運行鏽蝕棉絨的工具。 Dylint使開發人員可以輕鬆維護自己的個人棉絨收藏。
  • 電解配x - 一種通過將銹程序轉移到精益定理稱者中的定義來正式驗證的工具。
  • 赫比配x - 在使用數值不穩定的浮點表達式時,在板條箱中添加警告或錯誤。
  • linter-lust配x - 使用Rustc和貨物在原子中伸出鏽蝕。
  • Mirai-以及在Rust的中級中間語言上運行的抽象口譯員,並根據污點分析提供警告。
  • PRAE - 提供了一個方便的宏,它允許您生成類型的包裝器,該包裝器承諾始終維護您指定的任意不變性。
  • Prusti - 基於Viper驗證基礎設施的Rust靜態驗證器。默認情況下,Prusti通過證明諸如無法到達的陳述! ()和恐慌! ()無法驗證恐慌。
  • Rudra©找 - 生鏽記憶安全和未定義的行為檢測。它能夠分析單一生鏽的包裹以及Crates.io上的所有軟件包。
  • Rust語言服務器 - 支持諸如“ goto定義”,符號搜索,重新格式化和代碼完成之類的功能,並啟用重命名和重構。
  • 生鏽分析儀 - 支持諸如“ goto定義”,類型推理,符號搜索,重新格式化和代碼完成之類的功能,並啟用重命名和重構。
  • 生鏽審核 - 審核生鏽二進製文件針對已知的錯誤或安全漏洞。通過將有關依賴項樹(cargo.lock)的數據嵌入JSON格式來工作,從而將其嵌入了編譯可執行文件的專用鏈接器部分中。
  • rustfix - 閱讀並應用Rustc(和第三方棉絨,如Clippy提供的)提出的建議。
  • RudFMT - 根據樣式準則格式化鏽蝕代碼的工具。
  • Rustviz - Rustviz是一種工具,可以從簡單的Rust程序中生成可視化,以幫助用戶更好地了解Rust Lifetime和借用機制。它生成具有圖形指標的SVG文件,該文件與MDBook集成以渲染Rust程序中數據流的可視化。
  • Warnalyzer - 顯示多燃料生鏽項目中未使用的代碼

SQL

  • DBCritic - DbCritic在數據庫模式中發現了問題,例如表中缺少的主要密鑰約束。
  • SQLCHECK - 自動識別SQL查詢中的反圖案。
  • SQLFluff - 多個方言SQL Linter和格式化。
  • SQLINT - 簡單的SQL Linter。
  • Squawk - linter for PostgreSQL,專注於遷移。防止數據庫遷移引起的意外停機時間,並鼓勵圍繞Postgres模式和SQL的最佳實踐。
  • TSQLLINT - T-SQL特異性襯裡。
  • tsqlrules配x - SQL Server的TSQL靜態代碼分析規則。
  • 視覺專家©找 - PowerBuilder,Oracle和SQL Server的代碼分析探索,分析和文檔代碼代碼

Scala

  • Linter配x - Linter是Scala靜態分析編譯器插件,可為各種可能的錯誤,效率低下和样式問題添加編譯時間檢查。
  • Scalastyle - Scalastyle檢查了您的Scala代碼,並指出了潛在的問題。
  • 替罪羊 - 用於靜態代碼分析的Scala編譯器插件。
  • Wartremover - 靈活的Scala代碼刺激工具。

  • bashate - 狂歡節目的代碼樣式執法。輸出格式旨在遵循PyCodestyle(PEP8)默認輸出格式。
  • i代碼CNES for Shell配x - 用於外殼和Fortran的開源靜態代碼分析工具(77和90)。
  • KMDR - 從您的終端學習命令的CLI工具。 KMDR通過解釋的每個屬性進行了分解的命令。
  • sh - 帶有bash支持的殼牌解析器,格式化和解釋器;包括SHFMT
  • ShellCheck - ShellCheck,一種靜態分析工具,可為Bash/SH Shell腳本提供警告和建議。
  • Shellharden - 語法熒光筆和一種半自動的工具,可以將腳本重寫為ShellCheck符合性,主要集中於引用。

迅速

  • SwiftFormat - 用於重新格式化Swift代碼的庫和命令行格式工具。
  • Swiftlint-一種實施快速風格和約定的工具。
  • 裁縫配x - 用Apple Swift編程語言編寫的源代碼的靜態分析和棉絨工具。

TCL

  • FRINK - TCL格式和靜態檢查程序(可以使該程序降臨,最小化,混淆或僅僅是理智的檢查)。
  • Nagelfar - TCL的靜態語法檢查器。
  • TCLCHECKER - 靜態語法分析模塊(作為TDK的一部分)。

打字稿

  • Angular Eslint - 角度項目的襯裡
  • Codelyzer - 一組Angular 2打字條項目的靜態代碼分析的TSLINT規則。
  • TSLINT-CLEAN-CODE - 一組受清潔代碼手冊啟發的TSLINT規則。
  • tslint-microsoft-contrib配x - 一組由Microsoft維護的打字稿項目的靜態代碼分析的TSLINT規則。
  • 打字稿呼叫圖 - CLI生成函數的交互式圖和打字稿文件的調用
  • TypeScript Eslint - Eslint的打字稿擴展。

vbscript

  • 測試設計工作室©q-帶有靜態代碼分析的完整IDE,用於微聚焦統一功能測試基於VBScript的自動測試。

Verilog/Systemverilog

  • Icarus Verilog - 一種通過編譯IEEE-1364 Verilog寫入源代碼為某種目標格式的Verilog模擬和合成工具
  • SVLS - 用於Verilog和SystemVerilog的語言服務器協議實現,包括絨毛功能。
  • 可靠的插入 - 借助用於verilog和SystemVerilog源文件的可透性,在github操作中進行自動systemverilog linting,並在拉動請求中自動評論代碼的錯誤行。
  • Verilator - 一種將Verilog轉換為C ++或SystemC中周期精確行為模型的工具。執行棉絨代碼質量檢查。
  • vscode-verilog-hdl-support - Verilog HDL/SystemVerilog/BluesPec SystemVerilog對代碼的支持。提供iCarus Verilog,Vivado邏輯模擬,Modelim和Verilator的語法突出顯示和覆蓋支持

vim腳本

  • 釀酒配x - Python實施的快速且高度可擴展的VIM腳本語言。

多種語言

  • 啤酒 - VIM和Neovim的異步棉絨引擎,並支持多種語言。

  • Android Studio - 基於Intellij Idea,並捆綁了包括Android Lint在內的Android工具。

  • AppChecker©找 - C/C ++/C#,PHP和Java的靜態分析。

  • 應用程序檢查器©️-商業靜態代碼分析,該分析生成可驗證漏洞的利用。

  • ApplicationInspector - 為特徵檢測創建超過400個規則模式的報告(例如,在應用程序中使用加密或版本控制)。

  • AppScreener©️-二進制和源代碼的靜態代碼分析-Java/Scala,PHP,JavaScript,C#,PL/SQL,Python,Python,T -SQL,C/C ++,Objectivec/Swift,Visual Basic 6.0,Visual Basic 6.0,Ruby,Ruby,delphi,abap,abap,html5和solidity。

  • Archunit-單元測試您的Java或Kotlin體系結構。

  • 原子生物配x - 美化HTML,CSS,JavaScript,PHP,Python,Ruby,Java,C,C,C ++,C#,Objective-C,Coffeescript,CoffeeScript,Typescript,Typescript,Coldfusion,SQL,SQL,SQL等。

  • Axivion Bauhaus Suite© - 跟踪易行的代碼位置,樣式違規,克隆或死亡代碼,循環依賴性等,以及C/C ++,C#/。 Net,Java,Java和Ada 83/Ada 95。

  • 更好的代碼中心©️-更好的代碼集線器檢查您的GitHub代碼庫,該代碼庫針對由軟件質量,軟件改進組設計的10個工程指南。

  • 鑄件突出顯示©席 - 商業靜態代碼分析,該分析在本地運行,但將結果上傳到其云中以進行演示。

  • CheckMarx CXSAST©️-不需要預兼容的商業靜態代碼分析。

  • classGraph-用於查詢或可視化類元數據或類相關性的類路徑路徑掃描儀。

  • Clayton©席 - AI驅動的代碼評論Salesforce。確保您的發展,執行最佳實踐並實時控制您的技術債務。

  • COALA - 用於創建代碼分析的語言獨立框架 - 默認情況下支持60多種語言。

  • COBRA©️-NASA的噴氣推進實驗室的結構源代碼分析儀。

  • Codacy©️-更快地運送更好代碼的代碼分析。

  • 代碼智能©找 - CI/CD-AGNOSTIC DEVSECOPS平台,結合了行業領先的模糊引擎,用於查找錯誤和可視化代碼覆蓋

  • CODEAC©目標 - 自動代碼審核工具與GitHub,Bitbucket和Gitlab(甚至是自託管)集成在一起。可用於JavaScript,Typescript,Python,Ruby,Go,Php,Java,Docker等。 (免費開源)

  • Codeburner配x - 提供一個統一的界面來對其發現的問題進行分類和行動。

  • CodeChecker - 使用Web GUI的Clang靜態分析儀的缺陷數據庫和查看器擴展。

  • CodeFactor©q - 用於GitHub或Bitbucket上的存儲庫的自動代碼分析。

  • CodeFlow©️-可處理技術深度的自動代碼分析工具。與Bitbucket和Gitlab集成。 (免費用於開源項目)

  • codeit.right©️-Codeit.right™提供了一種快速,自動化的方法,以確保您的源代碼遵守(您的)預定義的設計和样式指南以及最佳的編碼實踐。

  • CodePatrol©️-由安全驅動的自動SAST代碼評論,支持15多種語言並包括安全培訓。

  • CodeQL - 深層代碼分析 - 具有VSCODE插件支持的幾種語言的語義查詢和數據流。

  • CODERRECT©找 - 多線程軟件的高級靜態分析儀。支持OpenMP,Pthreads,STD :: Thread和GPU/CUDA。

  • CODERUSH©找 - 代碼創建,調試,導航,重構,分析和可視化工具,在Visual Studio 2015及以上使用Roslyn引擎。

  • Codescan©️-Salesforce開發人員的代碼質量和安全性。 Codescan的代碼分析解決方案專門為Salesforce平台製作,可為您提供對代碼健康的全部知名度。

  • Codescene©️-代碼是軟件的質量可視化工具。優先考慮技術債務,檢測交貨風險並衡量組織方面。完全自動化。

  • Grammatech的CodeSonar©q - 高級,整個程序,深度路徑,C,C ++,Java和C#的靜態分析,具有易於理解的解釋以及代碼和路徑可視化。

  • Codiga©️-支持12多種語言的自動代碼評論和技術債務管理平台。

  • 腐蝕配x - 從C到Rust的半自動翻譯。可以通過顯示生鏽的編譯器警告和錯誤來揭示原始實現中的錯誤。被C2rust取代。

  • 封面©找 - Synopsys Coverity支持20種語言和70多種框架,包括Ruby On Rails,Scala,Php,Python,Python,JavaScript,Typescript,Java,Java,Fortran,C,C ++,C#,VB.NET。

  • CQC配x - 檢查JS,JSX,VUE,CSS,LINS,SCS,SASS和Styl文件的代碼質量。

  • DeepCode©找 - DeepCode根據AI找到錯誤,安全漏洞,性能和API問題。 DeepCode的分析速度使我們可以實時分析您的代碼,並在您點擊IDE中的“保存”按鈕時提供結果。支持的語言是Java,C/C ++,JavaScript,Python和Typescript。與github,bitbucket和gitlab集成。

  • DeepSource©️-深入的靜態分析,以在錯誤風險,安全性,反式圖案,性能,文檔和样式的垂直方面找到問題。與github,gitlab和bitbucket的本地集成。不到5%的假陽性。

  • 取決於 - 分析Java,C/C ++,Ruby的代碼元素的全面依賴性。

  • DEVSKIM - 基於REGEX的Visual Studio,VS代碼和崇高文本的靜態分析工具-C/C ++,C#,PHP,ASP,Python,Ruby,Java等。

  • expold©找 - 智能軟件分析平台,可識別設計問題,代碼問題,重複和指標。支持Java,C,C ++,C#,JavaScript,Typescript,Python,Go,Kotlin等。

  • ESLINT - 遵循ECMAScript標準的JS的可擴展襯裡。

  • 查找安全錯誤 - 用於Java Web應用程序和Android應用程序的安全審核的SpotBugs插件。 (也與Kotlin,Groovy和Scala項目一起工作)

  • Fortify ©️ — A commercial static analysis platform that supports the scanning of C/C++, C#, VB.NET, VB6, ABAP/BSP, ActionScript, Apex, ASP.NET, Classic ASP, VB Script, Cobol, ColdFusion, HTML, Java, JS, JSP, MXML/Flex, Objective-C, PHP, PL/SQL, T-SQL, Python (2.6,2.7),Ruby(1.9.3),Swift,Scala,VB和XML。

  • GoodCheck - 基於REGEXP的可自定義襯裡。

  • 戈恩配x - 在GO代碼中查找n+1個查詢(for for loop中的SQL調用)

  • Graudit - Grep Rough Audit-源代碼審核工具。

  • HCL AppScan來源©找 - 商業靜態代碼分析。

  • 料斗配x - 用Scala編寫的靜態分析工具,用於在JVM上運行的語言。

  • Hound CI - 關於GitHub拉的請求中對違規風格的評論。支持Coffeescript,Go,Haml,JavaScript,Ruby,SCSS和Swift。

  • Imhotep-評論進入您的存儲庫的提議,並檢查句法錯誤和一般的棉絨警告。

  • 包括加德納配x - C/C ++/OBJ-C/Python/Ruby的多語言靜態分析儀創建圖形(以DOT或GraphMl格式),該圖顯示給定文件集的所有#include關係。

  • 推斷 - Java,C和Objective-C的靜態分析儀

  • InsiderSec配x - 一種開源靜態應用程序安全測試工具(SAST)在Golang撰寫的Java(Maven和Android),Kotlin(Android),Swift(ios),.NET Fulfer Framework,C#和JavaScript(Node.js)。

  • Kiuwan©️-在巨大的,協作的環境中識別和補救網絡威脅,並在您的SDLC中無縫集成。 Python,C C ++,Java,C#,PHP等。

  • KLOCWORK©找 - C/C ++,Java和C#的質量和安全性靜態分析。

  • LGTM©️-使用源代碼上的查詢查找安全漏洞,變體和關鍵代碼質量問題。自動公關代碼審查;免費提供開源。以前是Semmle。

  • lgtm.com©找 - GitHub和Bitbucket的深層代碼分析,以找到安全漏洞和關鍵的代碼質量問題(使用Semmle QL)。自動代碼審查拉請求;免費提供公共存儲庫。

  • 蜥蜴 - 蜥蜴是許多編程語言(包括C/C ++)的可擴展環境複雜性分析儀(不需要所有標頭文件或Java Imports)。它還可以進行複制 - 播種檢測(代碼克隆檢測/代碼重複檢測)和許多其他形式的靜態代碼分析。計數無註釋的代碼行,CCN(環形複雜性編號),函數的令牌計數,函數參數計數。

  • 大型級別 - 巨型限制可以通過其70+嵌入式林格(其高級報告),可在任何CI系統或本地運行,具有輔助安裝和配置,能夠應用格式和修復,可以處理任何類型的項目

  • OCLINT - 一種靜態源代碼分析工具,可改善質量並減少C,C ++和Objective-C的缺陷。

  • Ocular©️-使代碼審核員和安全團隊能夠交互式地研究其獨特的代碼庫,以找到傳統SAST無法使用的業務邏輯缺陷和技術漏洞。這是通過使分析師能夠編寫自己的自定義查詢來完成的。可以找到硬編碼的秘密,身份驗證問題以及惡意代碼(例如Rootkits和backdoors)。

  • 進攻360©q - 商業靜態代碼分析系統不需要構建源代碼或預兼容。

  • PARASOFT©找 - 用於單位,API-和Web UI測試的自動化軟件測試解決方案。符合Misra,Owasp和其他人。

  • PFFF - 許多語言的Facebook用於代碼分析,可視化或風格的源轉換的工具。

  • PMD - Java,Salesforce Apex,JavaScript,PLSQL,XML,XSL等的源代碼分析儀。

  • 預警 - 一個用於管理和維護多語言預加入掛鉤的框架。

  • Prettier - 一種自以為是的代碼格式。

  • Pronto - 快速自動化代碼審查您的更改。為各種語言提供支持40多名跑步者,包括Clang,Elixir,JavaScript,PHP,Ruby等。

  • pt.pm配x - 基於統一AST或UST的源代碼中搜索模式的引擎。目前支持C#,Java,PHP,PL/SQL,T-SQL和JavaScript。模式可以在代碼中或使用DSL中描述。

  • PVS-Studio©️-A(有條件免費的FOSS和個人開發人員)C,C ++,C#和Java代碼的靜態分析。出於廣告目的,您可以提出一個大型FOSS項目,以供PVS員工分析。支持CWE映射,MISRA和CERT編碼標準。

  • Pylama - Python和JavaScript的代碼審核工具。包裹pycodestyle,pydocStyle,Pyflakes,McCabe,Pylint等

  • 重構必需品配x - C#和VB.NET重構的免費視覺工作室2015擴展名,包括代碼最佳實踐分析儀。

  • RESINT - 一個靜態文件襯裡,允許您使用正則表達式(REGEX)編寫自定義規則。

  • RESHARPER© - 通過C#,VB.NET,ASP.NET,JavaScript,Typescript和其他技術的在線代碼檢查擴展了Visual Studio。

  • RIPS©找 - PHP腳本中漏洞的靜態源代碼分析儀。

  • 羅馬 - 羅馬是JavaScript,Typescript,JSON,HTML,Markdown和CSS的林格,編譯器,捆綁器等。

  • 羅斯林分析儀 - 基於羅斯林的FXCOP分析儀的實施。

  • 羅斯林保安人員 - 側重於識別潛在漏洞的項目,例如SQL注入,跨站點腳本(XSS),CSRF,密碼弱點,硬編碼密碼等。

  • ScanmyCode CE(社區版) - ScanmyCode-使用許多報告使用許多工具/掃描儀的代碼掃描/sast/linting

  • 審查器©️-可以與GitHub集成的專有代碼質量檢查器。

  • 安全代碼掃描 - C#和VB.NET的安全代碼分析儀。檢測各種安全漏洞模式:SQLI,XSS,CSRF,XXE,Open Redirect等。將其集成到Visual Studio 2015和更新中。檢測各種安全漏洞模式:SQLI,XSS,CSRF,XXE,開放重定向等。

  • SEMGREP - 一種快速,開源,靜態分析工具,用於在編輯,Commit和CI時間查找錯誤和執行代碼標準。它的規則看起來像您已經編寫的代碼;沒有抽象的語法樹或正則摔跤。支持17多種語言。

  • ShiftLeft©️-確定代碼基庫在生產之前所獨有的漏洞。利用代碼屬性圖(CPG)在單個圖中同時運行其分析。自動在DEV中自動找到業務邏輯缺陷,例如硬編碼的秘密和邏輯炸彈

  • ShiftLeft掃描 - 掃描是一個免費的開源DevSecops平台,用於檢測源代碼和依賴項中的安全問題。它支持廣泛的語言和CI/CD管道。

  • 造船配x - 靜態程序分析平台,允許自定義分析儀通過通用接口插入。

  • SIDE©席 - 自動代碼審核工具。提高開發人員的生產率。

  • 相似性測試儀 - 一種在文件之間或內部找到相似之處以支持您遇到違反乾燥原則的工具。

  • Snyk©️-Node.js應用程序依賴項的漏洞掃描儀(開源項目免費)。

  • Sonarcloud©️-基於多語言的靜態代碼分析。歷史,趨勢,安全熱點,拉出請求分析等等。免費提供開源。

  • Visual Studio的Sonarlint-Sonarlint是Visual Studio 2015和2017的擴展,該擴展名向開發人員提供了有關新的錯誤和注入.NET代碼的質量問題的反饋。

  • Sonarqube - Sonarqube是管理代碼質量的開放平台。

  • Sonatype©找 - 報告已知漏洞的常見依賴性,並建議更新軟件包以最大程度地減少破壞更改

  • SOTO平台©找 - 靜態分析工具套件,由三個組件SotoArc(體系結構分析),Sotograph(質量分析)和Sotoreport(質量報告)組成。幫助查找架構和實現之間的差異,接口違規(例如子系統的私人部分的外部訪問,對所有類,文件,軟件包和子系統的檢測,這些階層,週期性關係以及更多的範圍。Sotograph產品系列在Windows和Linux上運行。

  • Sourcemeter©️-C/C ++,Java,C#,Python和RPG III和RPG IV版本(包括自由形式)的靜態代碼分析。

  • SQLVET - 對您的GO代碼基庫中的RAW SQL查詢進行靜態分析,以表面潛在的運行時錯誤。它檢查了SQL語法錯誤,標識可能導致SQL注射的不安全查詢,確保列計數匹配插入語句中的值計數並驗證表格和列名。

  • 超級限制 - 將多個襯裡的組合作為GitHub動作安裝。

  • Synopsys©找 - 一個商業靜態分析平台,允許掃描多種語言(C/C ++,Android,C#,Java,JS,JS,PHP,Python,Python,Node.js,Ruby,Ruby,Fortran和Swift)。

  • TeamScale©️-靜態和動態分析工具支持25多種語言和直接IDE集成。可根據要求提供的開源項目免費託管。免費的學術許可證。

  • 托多克(Todocheck) - 用於將帶註釋的Todos與您的發行跟踪器集成

  • Trivy - 適用於CI的容器和其他工件的簡單而全面的脆弱性掃描儀。 Trivy檢測到OS軟件包(Alpine,Rhel,CentOS等)和應用依賴性(Bundler,Composer,NPM,Yarn等)的漏洞。檢查容器和文件系統。

  • 行李箱©找 - 現代存儲庫包括許多技術,每個技術都有自己的一套襯裡。憑藉30多個襯里和計數,TRUNK使您可以為所有存儲庫識別,安裝,配置和運行正確的襯裡,靜態分析儀和格式化器。

  • TScancode - tencent提供的C/C ++,C#,LUA代碼的快速準確的靜態分析解決方案。使用GPLV3許可證。

  • UNDEBT - 基於簡單模式定義的大規模,自動,可編程重構的語言無關的工具。

  • 理解©找© - 提供代碼分析,標準測試,指標,圖形,依賴分析等的代碼可視化工具,以及ADA,VHDL等。

  • Unibeautify - 帶有GitHub應用程序的通用代碼美化器。支持HTML,CSS,JavaScript,Typescript,JSX,VUE,C ++,GO,Objective-C,Java,Python,Python,PHP,GraphQl,Markdown等。

  • UPSOURCE©️-帶有靜態代碼分析的代碼審核工具,以及Java,PHP,JavaScript和Kotlin的代碼感知導航。

  • VeraCode©找 - 在不需要源的情況下查找二進製文件和字節碼中的缺陷。支持所有主要的編程語言:Java,.net,JavaScript,Swift,Objective-C,C,C ++等。

  • viezly©️-帶有依賴圖的代碼審核工具。通過更好的導航和代碼分析來改善團隊的代碼評論

  • WALA - Java字節碼和相關語言以及JavaScript的靜態分析功能。

  • 韋格利(Weggli) - C和C ++代碼庫的快速且健壯的語義搜索工具。它旨在幫助安全研究人員在大型代碼庫中確定有趣的功能。

  • Whitehat應用程序安全平台©找Whitehat Scout(適用於開發人員)與Whitehat Sentinel Source(用於操作)支持Whitehat Top 40和OWASP TOP 10。

  • Wotan - 可插入打字稿和JavaScript Linter。

  • Xcode©找 - Xcode為Clang的靜態代碼分析儀(C/C ++,OBJ-C)提供了一個相當不錯的UI。

  • 推桿 - 可插入和可配置的代碼變壓器,帶有內置的ESLINT,BABEL插件支持JS,JSX打字稿,Flow,Markdown,Markdown,YAML和JSON。

其他

  • Angular Eslint - 角度項目的襯裡

Ansible

  • KICS - 在基礎架構中找到安全漏洞,合規性問題和基礎架構錯誤。支持Terraform,Kubernetes,Docker,AWS Cloud Formation和Ansible

Azure Resource Manager

  • AZSK - 用於Azure(AZSK)的安全DEVOPS套件提供安全性智能,安全驗證測試(SVTS),CICD掃描漏洞,合規性問題和基礎架構錯誤配置在您的基礎架構-AS-AS-AS代碼中。通過手臂支撐Azure。

二進制

  • ANGR - 也支持符號執行的二進制代碼分析工具。
  • Binbloom - 分析原始的二進制固件,並確定諸如Endianness或加載地址之類的功能。該工具與所有架構兼容。加載地址:Binbloom可以解析原始二進制固件並確定其加載地址。 ENDIANNESS:Binbloom可以使用啟發式方法來確定固件的底色。 UDS數據庫:Binbloom可以解析原始的二進制固件,並檢查它是否包含包含UDS命令ID的數組。
  • Binskim - 一種二進制靜態分析工具,可為Windows便攜式可執行文件提供安全性和正確性結果。
  • Black Duck©找 - 分析可重複使用的代碼,必要許可和潛在安全方面的源代碼和二進製文件的工具。
  • 膨脹 - 曾經想過是什麼使您的二進制變大了? Bloaty McBloatface將向您展示二進制的大小配置文件,以便您可以了解內部空間的內容。 Bloaty對二進制進行了深入的分析。使用自定義的精靈,矮人和Mach-O解析器,Bloaty旨在將二進制的每個字節歸因於產生它的符號或編譯器。它甚至會拆卸二進製文件以尋找對匿名數據的參考。 f
  • 貨運 - 找出如何使您的可執行文件中的大部分空間。支持Elf(Linux,BSD),Mach-O(MacOS)和PE(Windows)二進製文件。
  • CWE_CHECKER - CWE_CHECKER在二進制可執行文件中找到脆弱的模式。
  • Ghidra - NSA研究局開發的軟件逆向工程套件(SRE)套件,以支持網絡安全任務
  • IDA免費©找 - 二進制代碼分析工具。
  • JAKSTAB - JAKSTAB是一種基於抽象的解釋,集成的拆卸和靜態分析框架,用於設計可執行文件並恢復可靠的控制流程圖。
  • JEB分解器©️-反編譯和調試二進制代碼。分解並分析文檔文件。 Android Dalvik,MIPS,ARM,Intel X86,Java,WebAssembly和Ethereum Encompilers。
  • Manalyze - 一種靜態分析儀,該儀檢查可攜帶的可執行文件中是否有惡意內容。
  • McSema - 提起X86,AMD64,AARCH64,SPARC32和SPARC64程序二進製文件的框架框架到LLVM BitCode。它將可執行二進製文件從本機機器代碼轉換為LLVM比特碼,這對於執行程序分析方法非常有用。
  • NAUZ文件檢測器 - Windows,Linux和MacOS的靜態鏈接器/編譯器/工具檢測器。
  • Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.
  • VMware chap — chap analyzes un-instrumented ELF core files for leaks, memory growth, and corruption. It is sufficiently reliable that it can be used in automation to catch leaks before they are committed. As an interactive tool, it helps explain memory growth, can identify some forms of corruption, and supplements a debugger by giving the status of various memory locations.
  • zydis — Fast and lightweight x86/x86-64 disassembler library

Build tools

  • checkmake — Linter / Analyzer for Makefiles.
  • portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

CSS/SASS/SCSS

  • CSS Stats — Potentially interesting stats on stylesheets.
  • CSScomb — A coding style formatter for CSS. Supports own configurations to make style sheets beautiful and consistent.
  • CSSLint — Does basic syntax checking and finds problematic patterns or signs of inefficiency.
  • GraphMyCSS.com — CSS Specificity Graph Generator.
  • Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG
  • 帕克配x — Stylesheet analysis tool.
  • PostCSS — A tool for transforming styles with JS plugins. These plugins can lint your CSS, support variables and mixins, transpile future CSS syntax, inline images, and more.
  • Project Wallace CSS Analyzer — Analytics for CSS, part of Project Wallace.
  • sass-lint配x — A Node-only Sass linter for both sass and scss syntax.
  • scsslint — Linter for SCSS files.
  • Specificity Graph — CSS Specificity Graph Generator.
  • Stylelint — Linter for SCSS/CSS files.

配置文件

  • dotenv-linter — Linting dotenv files like a charm.
  • dotenv-linter (Rust) — Lightning-fast linter for .env files. Written in Rust
  • gixy配x — A tool to analyze Nginx configuration. The main goal is to prevent misconfiguration and automate flaw detection.

配置管理

  • ansible-lint — Checks playbooks for practices and behaviour that could potentially be improved.
  • AWS CloudFormation Guard — Check local CloudFormation templates against policy-as-code rules and generate rules from existing templates.
  • AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
  • cfn-lint — AWS Labs CloudFormation linter.
  • cfn_nag — A linter for AWS CloudFormation templates.
  • chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
  • checkov — Static analysis tool for Terraform files (tf>=v0.12), preventing cloud misconfigs at build time.
  • clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
  • cookstyle — Cookstyle is a linting tool based on the RuboCop Ruby linting tool for Chef cookbooks.
  • Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
  • foodcritic — A lint tool that checks Chef cookbooks for common problems.
  • kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
  • kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
  • kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
  • kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.
  • metadata-json-lint — Tool to check the validity of Puppet metadata.json files.
  • Puppet Lint — Check that your Puppet manifests conform to the style guide.
  • terraform-compliance — A lightweight, compliance- and security focused, BDD test framework against Terraform.
  • terrascan — Collection of security and best practice tests for static code analysis of Terraform templates.
  • tflint — A Terraform linter for detecting errors that can not be detected by terraform plan .
  • tfsec — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.

容器

  • anchore — Discover, analyze, and certify container images. A service that analyzes Docker images and applies user-defined acceptance policies to allow automated container image validation and certification
  • chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
  • clair — Vulnerability Static Analysis for Containers.
  • clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
  • 集電極配x — Run arbitrary scripts inside containers, and gather useful information.
  • dagda — Perform static analysis of known vulnerabilities in docker images/containers.
  • Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
  • Docker Label Inspector配x — Lint and validate Dockerfile labels.
  • Haskell Dockerfile Linter — A smarter Dockerfile linter that helps you build best practice Docker images.
  • kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
  • kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
  • kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
  • kube-score — Static code analysis of your Kubernetes object definitions.
  • KubeLinter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
  • kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.
  • OpenSCAP — Suite of automated audit tools to examine the configuration and known vulnerabilities following the NIST-certified Security Content Automation Protocol (SCAP).
  • Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.
  • sysdig ©️ — A secure DevOps platform for cloud and container forensics. Built on an open source stack, Sysdig provides Docker image scanning and created Falco, the open standard for runtime threat detection for containers, Kubernetes and cloud.
  • Vuls — Agent-less Linux vulnerability scanner based on information from NVD, OVAL, etc. It has some container image support, although is not a container specific tool.

連續整合

  • actionlint — Static checker for GitHub Actions workflow files. Provides an online version.
  • AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
  • Code Climate — The open and extensible static analysis platform, for everyone.
  • EXAKAT - PHP的自動代碼審查引擎。
  • Nitpick CI©️-自動化的PHP代碼評論。
  • PullRequest ©️ — Code review as a service with built-in static analysis. Increase velocity and reduce technical debt through quality code review by expert engineers backed by best-in-class automation.
  • 品質配x — Runs quality checks on your code using community tools, and makes sure your numbers don't get any worse over time.
  • 量化碼配x - 自動代碼審核和維修。它可以幫助您跟踪軟件項目中的問題和指標,並且可以輕鬆擴展以支持新類型的分析。
  • ReviewDog - 一種用於在任何代碼託管服務中發表任何林格的評論評論的工具。
  • Symfony Insight©q - 檢測安全風險,查找錯誤並為PHP項目提供可行的指標。
  • 違反LIB - 用於解析報告文件的Java庫。 Used by a bunch of Jenkins, Maven and Gradle plugins.

丹諾

  • deno_lint — Official linter for Deno.

嵌入

  • oelint-adv — Linter for bitbake recipes used in open-embedded and YOCTO

嵌入式紅寶石(又名ERB,Eruby)

  • ERB Lint — Lint your ERB or HTML files

小黃瓜

  • gherkin-lint — A linter for the Gherkin-Syntax written in Javascript.

html

  • Angular ESLint — Linter for Angular projects
  • Bootlint — An HTML linter for Bootstrap projects.
  • ERB Lint — Lint your ERB or HTML files
  • grunt-bootlint — A Grunt wrapper for Bootlint, the HTML linter for Bootstrap projects.
  • gulp-bootlint — A gulp wrapper for Bootlint, the HTML linter for Bootstrap projects.
  • HTML Inspector配x — HTML Inspector is a code quality tool to help you and your team write better markup.
  • HTML Tidy — Corrects and cleans up HTML and XML documents by fixing markup errors and upgrading legacy code to modern standards.
  • HTML-Validate — Offline HTML5 validator.
  • HTMLHint — A Static Code Analysis Tool for HTML.
  • Nu Html Checker — Helps you catch problems in your HTML/CSS/SVG
  • 聚合物 - 分析儀 - 網絡組件的靜態分析框架。

JSON

  • Spectral — A flexible JSON/YAML linter, without of the box support for OpenAPI v2/v3 and AsyncAPI v2.

Kubernetes

  • chart-testing — ct is the the tool for testing Helm charts. It is meant to be used for linting and testing pull requests. It automatically detects charts changed against the target branch.
  • clusterlint — Clusterlint queries live Kubernetes clusters for resources, executes common and platform specific checks against these resources and provides actionable feedback to cluster operators. It is a non invasive tool that is run externally. Clusterlint does not alter the resource configurations.
  • Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
  • kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
  • kube-lint — A linter for Kubernetes resources with a customizable rule set. You define a list of rules that you would like to validate against your resources and kube-lint will evaluate those rules against them.
  • kube-linter — KubeLinter is a static analysis tool that checks Kubernetes YAML files and Helm charts to ensure the applications represented in them adhere to best practices.
  • kubeval — Validates your Kubernetes configuration files and supports multiple Kubernetes versions.

乳膠

  • ChkTeX — A linter for LaTex which catches some typographic errors LaTeX oversees.
  • lacheck — A tool for finding common mistakes in LaTeX documents.
  • TeXLab — A Language Server Protocol implementation for TeX/LaTeX, including lint capabilities.

拉拉維爾

  • Enlightn - 用於Laravel應用程序的靜態和動態分析工具,可提供建議,以提高Laravel應用程序的性能,安全性和代碼可靠性。包含120張自動檢查。

makefiles

  • checkmake — Linter / Analyzer for Makefiles.
  • portlint — A verifier for FreeBSD and DragonFlyBSD port directories.

降價

  • markdownlint — Node.js -based style checker and lint tool for Markdown/CommonMark files.
  • mdformat — CommonMark compliant Markdown formatter
  • mdl — A tool to check Markdown files and flag style issues.
  • remark-lint — Pluggable Markdown code style linter written in JavaScript.

金屬因

  • Ciocheck配x - 襯裡,格式和測試套件輔助器。作為襯裡,它是pep8pydocstyleflake8pylint周圍的包裝紙。
  • Flake8-圍繞pyflakespycodestylemccabe包裝紙。
  • Go Meta Linter配x - 同時運行GO棉絨工具並將其輸出標準化。將golangci-lint用於新項目。
  • Goreporter-同時運行許多襯裡,並將其輸出歸為報告。
  • 多曲線配x - flake8周圍的包裝紙, isort and modernize
  • 探礦者 - pylintpep8mccabe等周圍的包裝紙。

移動的

  • Android Lint — Run static analysis on Android projects.
  • android-lint-summary配x — Combines lint errors of multiple projects into one output, check lint results of multiple sub-projects at once.
  • FlowDroid — Static taint analysis tool for Android applications.
  • iblessing — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.
  • Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.
  • 辣椒配x — A toolkit to detect some code smells in analyzed Android applications.
  • qark配x — Tool to look for several security related Android application vulnerabilities.
  • redex — Redex provides a framework for reading, writing, and analyzing .dex files, and a set of optimization passes that use this framework to improve the bytecode. An APK optimized by Redex should be smaller and faster.

尼克斯

  • deadnix — Scan Nix files for dead code (unused variable bindings)

node.js

  • lockfile-lint — Lint an npm or yarn lockfile to analyze and detect security issues
  • njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.
  • Nodejsscan - 由libsast和semgrep供電的NJSSCAN CLI工具供電的Node.js應用程序的靜態安全代碼掃描儀。它具有有關應用程序的安全狀態的UI,具有各種儀表板。
  • 標準 - 一個檢查JavaScript StyleGuide問題的NPM模塊。

軟件包

  • lintian — Static analysis tool for Debian packages.
  • rpmlint — Tool for checking common errors in rpm packages.

協議緩衝區

  • buf — Provides a CLI linter that enforces good API design choices and structure
  • protolint — Pluggable linter and fixer to enforce Protocol Buffer style and conventions.

木偶

  • metadata-json-lint — Tool to check the validity of Puppet metadata.json files.

鐵軌

  • dawnscanner — A static analysis security scanner for ruby written web applications. It supports Sinatra, Padrino and Ruby on Rails frameworks.

安全/薩斯特

  • AzSK — Secure DevOps kit for Azure (AzSK) provides security IntelliSense, Security Verification Tests (SVTs), CICD scan vulnerabilities, compliance issues, and infrastructure misconfiguration in your infrastructure-as-code. Supports Azure via ARM.
  • brakeman — A static analysis security vulnerability scanner for Ruby on Rails applications.
  • Datree — A CLI tool to prevent Kubernetes misconfigurations by ensuring that manifests and Helm charts follow best practices as well as your organization's policies
  • Enlightn - 用於Laravel應用程序的靜態和動態分析工具,可提供建議,以提高Laravel應用程序的性能,安全性和代碼可靠性。包含120張自動檢查。
  • Gitleaks — A SAST tool for detecting hardcoded secrets like passwords, api keys, and tokens in git repos.
  • Gokart - Golang Security Analysis,重點是最大程度地減少誤報。它能夠追踪變量和函數參數的來源,以確定輸入源是否安全。
  • iblessing — iblessing is an iOS security exploiting toolkit. It can be used for reverse engineering, binary analysis and vulnerability mining.
  • kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
  • lockfile-lint — Lint an npm or yarn lockfile to analyze and detect security issues
  • njsscan — A static application testing (SAST) tool that can find insecure code patterns in your node.js applications using simple pattern matcher from libsast and syntax-aware semantic code pattern search tool semgrep.
  • Nodejsscan - 由libsast和semgrep供電的NJSSCAN CLI工具供電的Node.js應用程序的靜態安全代碼掃描儀。它具有有關應用程序的安全狀態的UI,具有各種儀表板。
  • Oversecured ©️ — Enterprise vulnerability scanner for Android and iOS apps. It allows app owners and developers to secure each new version of a mobile app by integrating Oversecured into the development process.
  • PT Application Inspector ©️ — Identifies code flaws and detects vulnerabilities to prevent web attacks. Demonstrates remote code execution by presenting possible exploits.
  • Qualys Container Security ©️ — Container native application protection to provide visibility and control of containerized applications.
  • 量化碼配x - 自動代碼審核和維修。它可以幫助您跟踪軟件項目中的問題和指標,並且可以輕鬆擴展以支持新類型的分析。
  • Reshift©️-用於檢測和管理Java安全漏洞的源代碼分析工具。
  • scorecard — Security Scorecards - Security health metrics for Open Source
  • SearchDiggity ©️ — Identifies vulnerabilities in open source code projects hosted on Github, Google Code, MS CodePlex, SourceForge, and more. The tool comes with over 130 default searches that identify SQL injection, cross-site scripting (XSS), insecure remote and local file includes, hard-coded passwords, etc.
  • Symfony Insight©q - 檢測安全風險,查找錯誤並為PHP項目提供可行的指標。
  • tfsec — Terraform static analysis tool that prevents potential security issues by checking cloud misconfigurations at build time and directly integrates with the HCL parser for better results. Checks for violations of AWS, Azure and GCP security best practice recommendations.
  • Tsunami Security Scanner — A general purpose network security scanner with an extensible plugin system for detecting high severity RCE-like vulnerabilities with high confidence. Custom detectors for finding vulnerabilities (eg open APIs) can be added.

智能合約

  • mythril — A symbolic execution framework with batteries included, can be used to find and exploit vulnerabilities in smart contracts automatically.
  • MythX ©️ — MythX is an easy to use analysis platform which integrates several analysis methods like fuzzing, symbolic execution and static analysis to find vulnerabilities with high precision. It can be integrated with toolchains like Remix or VSCode or called from the command-line.
  • slither — Static analysis framework that runs a suite of vulnerability detectors, prints visual information about contract details, and provides an API to easily write custom analyses.
  • solhint — Solhint is an open source project created by https://protofire.io. Its goal is to provide a linting utility for Solidity code.
  • solium — Solium is a linter to identify and fix style and security issues in Solidity smart contracts.

支持

  • LibVCS4j — A Java library that allows existing tools to analyse the evolution of software systems by providing a common API for different version control systems and issue trackers.
  • 違反LIB - 用於解析報告文件的Java庫。 Used by a bunch of Jenkins, Maven and Gradle plugins.

模板語言

  • ember-template-lint — Linter for Ember or Handlebars templates.
  • haml-lint — Tool for writing clean and consistent HAML.
  • slim-lint — Configurable tool for analyzing Slim templates.
  • yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

Terraform

  • kics — Find security vulnerabilities, compliance issues, and infrastructure misconfigurations in your infrastructure-as-code. Supports Terraform, Kubernetes, Docker, AWS CloudFormation and Ansible
  • Shisho - 專為開發人員和安全團隊設計的輕質靜態代碼分析儀。它使您可以使用類似於SED的直觀DSL分析和轉換源代碼,但對於代碼。

翻譯

  • 丹尼斯配x — A set of utilities for working with PO files to ease development and improve quality.

vue.js

  • HTML-Validate — Offline HTML5 validator.
  • Vetur — Vue tooling for VS Code, powered by vls (vue language server). Vetur has support for formatting embedded HTML, CSS, SCSS, JS, TypeScript, and more. Vetur only has a "whole document formatter" and cannot format arbitrary ranges.

WebAssembly

  • Twiggy — Analyzes a binary's call graph to profile code size. The goal is to slim down wasm binary size.

寫作

  • After the Deadline配x — Spell, style and grammar checker.
  • alex — Catch insensitive, inconsiderate writing
  • codespell — Check code for common misspellings.
  • languagetool — Style and grammar checker for 25+ languages. It finds many errors that a simple spell checker cannot detect.
  • misspell-fixer — Quick tool for fixing common misspellings, typos in source code.
  • Misspelled Words In Context — A spell-checker that groups possible misspellings and shows them in their contexts.
  • proselint — A linter for English prose with a focus on writing style instead of grammar.
  • vale — A syntax-aware linter for prose built with speed and extensibility in mind.
  • write-good — A linter with a focus on eliminating "weasel words".

yaml

  • Spectral — A flexible JSON/YAML linter, without of the box support for OpenAPI v2/v3 and AsyncAPI v2.
  • yamllint — Checks YAML files for syntax validity, key repetition and cosmetic problems such as lines length, trailing spaces, and indentation.

git

  • commitlint — checks if your commit messages meet the conventional commit format

More Collections

  • Clean code linters — A collection of linters in github collections
  • Code Quality Checker Tools For PHP Projects — A collection of PHP linters in github collections
  • go-tools — A collection of tools and libraries for working with Go code, including linters and static analysis
  • linters — An introduction to static code analysis
  • OWASP Source Code Analysis Tools — List of tools maintained by the Open Web Application Security Project
  • php-static-analysis-tools — A reviewed list of useful PHP static analysis tools
  • Wikipedia — A list of tools for static code analysis.

^ back to top ^

License

MIT License & cc license


This work is licensed under a Creative Commons Attribution 4.0 International License.

To the extent possible under law, Paul Veillard has waived all copyright and related or neighboring rights to this work.

展開
附加信息
相關應用
爲您推薦
相關資訊 全部