点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」
作者 | Saif Sadiq翻译 | 王者静态代码分析或源代码分析是指使用静态代码分析工具对软件的“静态”(不运行的) 代码进行分析的一种方法,找出代码中潜在的漏洞静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。
为什么要进行静态代码分析?在执行代码之前获取代码洞见;与动态分析相比,执行速度更快;可以对代码质量维护进行自动化;在早期阶段 (尽管不是所有阶段) 可以自动检索 bug;在早期阶段可以自动发现安全问题;
如果你在使用带有静态分析器的 IDE(例如遵循 PEP8 的 Pycharm),那你已经在“船”上了在知道了什么是静态代码分析之后,接下来就有必要了解一下市场上有哪些好用的静态代码分析工具废话不多说,让我们来看看现在比较流行的静态代码分析工具。
DeepSourceDeepSource 可以帮你在代码评审期间自动发现并修复代码中的问题它可以与 Bitbucket、GitHub 或 GitLab 帐户集成这个工具可以找出反模式、bug 风险、性能问题。
DeepSource 还会生成并跟踪各种指标(例如依赖项计数、文档覆盖率等)分析器先发现文件级别的问题 (如在特定位置发现反模式),并进一步发现代码库级别的问题 (如发现有些依赖项没有安装)DeepSource Autofix 会为检测到的问题提出修复建议,并创建一个修复的拉取请求。
https://deepsource.io关键特性单个文件配置;对拉取请求进行质量检查;问题频谱;维护活跃度分析器;可以详细了解每一个问题;跟踪代码指标;定制分析,可以忽略掉一些问题;分析器可以为经常发生的问题提出修复建议,如果允许的话,它们还可以创建修复过的拉取请求;
对每个代码提交和拉取请求进行 Black、YAPF、Go fmt 等代码格式化不需要进行 CI 设置缺点不支持 PHP支持的语言Python、JavaScript、Go、Ruby、Java、Docker、SQL、Terraform、Shell,以及 TestIdentify 和修复 bug 风险、提交代码中的反模式、性能问题和安全缺陷。
定价开源项目、学生和非营利组织可以免费使用付费用户从 12 美元 / 月起算SonarQubeSonarQube 是一种很流行的静态分析工具,用于持续检查代码库的代码质量和安全性,并在代码评审期间指导开发团队。
SonarQube 可与 CI/CD 集成,进行自动化代码检查它还提供了质量管理工具帮你主动纠正错误:IDE 集成、Jenkins 集成和代码评审工具https://www.sonarqube.org关键特性
多语言支持;安全性分析;发布质量代码;可维护性;可以识别蹊跷的问题缺点并不是每个 IDE 都支持 SonarQube;不能选择忽略团队不需要去修复的问题支持的语言25 种以上的编程语言,包括 Java、C#、JavaScript、TypeScript、C/C++、COBOL 及其他。
定价社区版是免费和开源的商业版起步价为 120 欧元CodacyCodacy()是一个静态分析工具,可以帮助开发人员处理技术债务并提高代码质量Codacy 监控每一次代码提交和 PR 的代码质量你可以用它来加强代码质量标准,加强安全实践,并节省代码评审时间。
https://www.codacy.com关键特性代码评审自动化;代码质量分析;安全代码分析;集群安装 / 多个实例缺点缺乏与其他 SaaS 服务集成 (Sonatype、Blackduck、AWS API 网关的 API QOS 指标或 UI/E2E SaaS 测试服务) 的能力;。
无法加密项目信息或限制对源代码的访问;社区相对较小支持的语言30 多种语言,包括 Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript 等等。
定价对开源免费,付费用户起步价为 15 美元 / 月DeepScanDeepScan 是一个支持 JavaScript、TypeScript、React 和 Vue.js 的静态分析工具你可以使用 DeepScan 来查找部分运行时错误和质量问题,而不只是编码风格问题。
将 DeepScan 与你的 GitHub 代码库集成起来,以此来发现项目的质量问题https://deepscan.io关键特性缺陷跟踪;自动化构建;代码评审;协作;持续集成缺点有限的语言支持支持的语言。
JavaScript、TypeScript、React 和 Vue.js定价对开源免费,付费用户起步价为 9 美元 / 月EmboldEmbold 是一个通用的静态分析器,可以帮助开发人员在关键代码问题成为障碍之前把它们找出来。
它是一个有效诊断、转换和维护应用程序的得力工具它集成了人工智能和机器学习技术,可以找出一级问题,提供最佳解决方案,并在必要时重构应用程序你可以在已有的 DevOps 技术栈中使用它,可以在内部使用,也可以在私有云和公共云中使用它。
https://embold.io关键特性直观的 UI;更深入和更快的代码检查;智能地提高性能;无缝集成缺点价格相对较高支持的语言Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL。
定价对开源免费,付费用户每月 10 欧元VeracodeVeracode 是一种流行的静态代码分析工具它只针对安全问题,跨管道执行代码检查,以便发现安全漏洞,并将 IDE 扫描、管道扫描和策略扫描作为其服务的一部分。
它会创建用于审计的代码评估,作为程序的一部分https://www.veracode.com/products/binary-static-analysis-sast关键特性编码时的安全性问题反馈;在管道中快速获得结果;
令人满意的审计能力;不需要调整就可以获得高精确度;专注于修复问题缺点不支持自定义扫描规则;用户体验不是很好支持的语言Java、.Net、JavaScript、Scala、Python、PHP、Ruby on Rails、ColdFusion、Swift、C/C++、COBOL、Visual Basic 6、RPG,等等。
定价基于项目的规模定价,你可以在官网上提交表单来获取报价ReshiftReshift 是一个基于 SaaS 的软件平台,它无缝地集成到软件开发工作流中,让企业可以持续地部署安全的软件产品,而不会减慢它们的速度。
Reshift 减少了查找和修复漏洞、识别数据泄露的潜在风险以及帮助软件公司实现合规性和法规要求的成本和时间https://www.reshiftsecurity.com关键特性快速配置;安全性扫描;安全性职责。
缺点不支持 Java 以外的语言。支持的语言Java定价对开源免费,付费用户起步价是每月 99 美元。— 本文结束 —
● 漫谈设计模式在 Spring 框架中的良好实践● 颠覆微服务认知:深入思考微服务的七个主流观点● 人人都是 API 设计者● 一文讲透微服务下如何保证事务的一致性● 要黑盒测试微服务内部服务间调用,我该如何实现?
关注我,回复 「加群」 加入各种主题讨论群。对「服务端思维」有期待,请在文末点个在看喜欢这篇文章,欢迎转发、分享朋友圈
在看点这里
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。