静态代码分析工具清单

静态代码分析⼯具清单
SAST，即静态应⽤程序安全测试，通过静态代码分析⼯具对源代码进⾏⾃动化检测，从⽽快速发现源代码中的安全缺陷。

本⽂是⼀个静态源代码分析⼯具清单，收集了⼀些免费开源的项⽬，可从检测效率、⽀持的编程语⾔、第三⽅⼯具集成等⼏因素来综合考虑如何选择SAST⼯具。

1、RIPS
⼀款不错的静态源代码分析⼯具，主要⽤来挖掘PHP程序的漏洞。

项⽬地址：
2、SonarQube
⼀款企业级源代码静态分析⼯具，⽀持Java、PHP、C#、Python、Go等27种编程语⾔，⽽且能够集成在IDE、Jenkins、Git等服务。

项⽬地址：
https://
3、CodeQL
⼀个免费开源的语义代码分析引擎和查询⼯具，以⼀种⾮常新颖的⽅式组织代码与元数据，可以通过像SQL查询⼀样检索代码，并发现其中的安全问题。

git项⽬地址：
https:///github/codeql-cli-binaries
4、Find Security Bugs
⼀个⽤于 Java Web 应⽤程序安全审计的 SpotBugs 插件。

项⽬地址：
https://find-sec-bugs.github.io/
5、VCG(VisualCodeGrepper)
⼀种适⽤于 C++、C#、VB、PHP、Java、PL/SQL 和 COBOL 的⾃动化代码安全审查⼯具。

项⽬地址：
https:///projects/visualcodegrepp/
6、FindBugs
⼀款静态分析⼯具，检查程序潜在bug，在bug报告中快速定位到问题的代码上。

项⽬地址：
7、Cobra
⼀款源代码安全审计⼯具，⽀持检测多种开发语⾔源代码中的⼤部分显著的安全问题和漏洞。

项⽬地址：
https:///WhaleShark-Team/cobra
8、Hades
⼀个静态代码脆弱性检测系统，⽀持java源码的审计
项⽬地址：
https:///zsdlove/Hades
9、Bandit
⼀个专门⽤于查找Python代码中常见安全问题的⼯具。

github项⽬地址：
https:///PyCQA/bandit
10、Brakeman
⼀个免费的漏洞扫描器，专门为 Ruby on Rails 应⽤程序设计。

它静态分析 Rails 应⽤程序代码，以在开发的任何阶段查找安全问题。

项⽬地址：
https://。