代码质量扫描工具软件合集

SonarQube是SonarSource公司的一款代码质量管理工具，通过静态代码分析技术，能够检测代码中的潜在问题，如错误、漏洞、代码异味等，并提供详细的代码审计报告。它支持多种编程语言，如Java、Python、PHP、JavaScript、C/C++等，并具有丰富的插件生态，可以扩展其功能。

SonarQube能够自动检测代码中的错误和漏洞，包括语法错误、逻辑错误、安全漏洞等。它通过内置的代码分析器对代码进行深度扫描，确保代码的准确性和安全性。SonarQube支持自定义代码规范，可以根据项目的实际情况设置代码检查规则。它能够检查代码是否符合编码规范、命名规范、注释规范等，从而提高代码的可读性和可维护性。

SonarQube能够分析代码的复杂度，包括函数复杂度、类复杂度、模块复杂度等。通过复杂度分析，开发人员可以了解代码的复杂程度，从而优化代码结构。SonarQube能够统计和分析单元测试的覆盖率，通过单元测试覆盖率分析，开发人员可以了解代码的测试情况，从而确保代码的质量和稳定性。

Fortify SCA是一款由OpenText公司推出的静态代码分析工具，能够通过对源代码的深入分析，帮助开发团队识别并修复潜在的安全漏洞和代码缺陷，从而显著提升软件的安全性和质量。Fortify SCA适用于各种类型的应用程序，支持多种编程语言。

Fortify SCA的核心功能是静态代码分析，它通过分析源代码、字节码或二进制代码来检测潜在的安全漏洞和软件缺陷。这一过程中，Fortify SCA采用了多种静态分析技术，包括但不限于数据流分析、控制流分析、语义分析、结构分析和配置流分析等。

Fortify SCA内置了大量的安全规则和漏洞库，这些规则库基于广泛的安全研究和行业经验，能够检测常见的安全问题，如跨站脚本攻击（XSS）、SQL注入、缓冲区溢出等。Fortify SCA能够生成详细的报告，列出了发现的安全漏洞和代码缺陷，包括漏洞的描述、修复建议、代码位置等信息。用户可以通过报告和可视化界面查看和管理漏洞，以便进行修复和追踪。

Coverity是Synopsys公司的一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案，可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险，并确保符合安全和编码标准。

Coverity擅长检测Java、C/C++等语言的缺陷，如空指针引用、资源泄露、内存泄漏、文件句柄泄漏等。它能够提供精确的分析，帮助开发者在早期发现并修复安全缺陷，从而提升产品质量和测试效率。Coverity可以与Jenkins等持续集成工具无缝集成，将自动化安全测试集成到CI/CD管道中，并支持现有的开发工具和工作流。

Coverity支持多种安全标准和规范，如OWASP Top 10、CWE Top 25、PCI DSS等。通过符合这些标准和规范，企业可以确保其软件产品的安全性和可靠性。Coverity是提升代码质量和确保软件产品安全性的重要工具之一。

Checkmarx CxSuite是以色列Checkmarx公司的开发的静态源代码安全漏洞扫描工具，是采用了Checkmarx独特专利的虚拟编译器技术的静态源代码安全扫描测试工具，专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全缺陷。

Checkmarx CxSuite支持极其广泛的软件安全漏洞和安全弱点、操作系统平台、多种编程语言和框架。这使得它能够在不同的开发环境中无缝集成，为开发组织提供全面的代码质量扫描服务。无论是Java、C/C++、JavaScript等主流编程语言，还是Spring、Struts等常用框架，Checkmarx CxSuite都能够提供有效的扫描和检测。

Checkmarx CxSuite提供了高效的扫描与管理功能，包括自动代码审计、多任务排队扫描、并发扫描、循环扫描等。这些功能使得开发组织能够以最少的时间和成本应对安全代码的挑战。同时，Checkmarx CxSuite还提供了直观的源代码安全扫描结果管理功能，方便开发人员查看和管理扫描结果。

Klocwork是Perforce Software公司的一款静态代码分析器，用于开发人员生产力提升、SAST 和 DevOps / DevSecOps。Klocwork静态代码分析和SAST工具适用于 C、C++、C#、Java、JavaScript、Python和Kotlin ，可识别软件安全性、质量和可靠性问题，帮助强制遵守标准。

Klocwork的核心功能是静态代码分析，它能够在不运行代码的情况下，通过扫描源代码来发现潜在的问题。通过静态代码分析，Klocwork能够提前发现这些问题，从而降低软件故障率，提高软件质量。Klocwork能够检测代码中的安全漏洞。Klocwork的安全漏洞检测功能能够及时发现这些漏洞，并提供修复建议，从而提升软件的安全性。

Klocwork还支持自定义代码规范，如命名规范、代码格式等。通过对代码进行规范检查，Klocwork能够确保代码符合企业标准，提高代码的可读性和可维护性。Klocwork具有良好的集成性和定制性，可以与多种开发环境和持续集成工具集成，如Jenkins、GitLab CI等，实现自动化的代码质量扫描和报告生成。

Veracode Static Analysis是一款静态分析软件，使您的开发人员能够快速识别和修复应用程序安全漏洞，而无需管理工具。Veracode Static Analysis支持多种编程语言和框架，能够快速准确地扫描出代码中的潜在风险，并提供修复建议。这有助于开发人员在早期阶段发现并修复安全漏洞，从而提高代码的整体安全性。

Veracode Static Analysis与SDLC（软件开发生命周期）工具链的集成，使得安全测试能够在开发阶段就同步进行。一旦发现缺陷，开发人员可以利用在线补救建议和一对一指导来减少平均解决时间（MTTR）。Veracode Static Analysis具有较低的误报率，开发人员可以专注于修复实际的安全缺陷，而不是浪费时间在误报的问题上。Veracode Static Analysis还支持多种行业标准和法规要求，如PCI DSS、NIST 800-53和HIPAA等。

Veracode Static Analysis在代码质量扫描工具中不仅能够提高代码的安全性、优化开发流程、降低误报率，还支持自定义策略和法规遵从性要求，并提供开发者友好的体验。这些特点使得Veracode Static Analysis成为开发人员和企业提升代码质量的重要工具之一。

源代码缺陷检测工具是由北大软件开发的代码检测工具。中国首家通过美国CWE认证，利用多种专利技术自动识别语义缺陷、安全漏洞和编码规则等问题，适配国内编码标准和国产环境，支持灵活定制，打破国外工具在软件检测分析领域的垄断。

源代码缺陷检测工具能够自动识别多种语言，守护代码安全，支持C、C++、JAVA、C#、Scala、Groovy、Kotlin、.net等多种语言的混元检测。源代码缺陷检测工具支持多种文件导入方式及检测规则的灵活配置，最大程度方便使用，支持单文件、文件夹、压缩包(ZIP,RAR,GZ,7Z等常用格式)、与版本管理的同步(SVN、cVS、GIT)等四种导入方式，检测范围包括语义缺陷、编码规则、安全漏洞，可灵活配置。

源代码缺陷检测工具有基本检测引擎和人工智能检测引擎两大类，支持跟踪编译检测源，也支持代码检测，即编译不通过检测。源代码缺陷检测工具还提供修改影响分析、类继承关系分析、多态分析、程序切片、区间分析、约束求解、抽象语法树、变更Binding分析、控制流分析、调用分析、值依赖分析、控制依赖分析等多个SDK开发包。

黑域源代码检测软件是浩达恒业（北京）科技有限公司旗下的一款专业的软件安全开发生命周期管理平台。黑域源代码检测软件通过对源代码进行深入分析，能够识别出关键的安全性、可靠性和编码标准问题。它可以帮助企业将这些源代码安全检测功能无缝融入其已有的软件开发和测试环境中，实现软件源代码安全目标的统一管理。

黑域源代码检测软件配备了先进的静态源代码分析引擎，能够快速、准确地分析大规模、高复杂度的代码，并提供可行的修复建议，以降低软件错误的安全漏洞和修复成本。黑域源代码检测软件支持多语言检测，能够自动识别代码库中的所有语言，无需手动配置被检测语言，大大提高了检测效率。

黑域源代码检测软件提供开放API，支持集成CI/CD管道，能够良好地融合企业业务系统，实现自动化检测与修复。黑域源代码检测软件还能够融合代码管理服务器及缺陷管理系统，支持从SVN/Git/Jira等工具中获取代码信息，对DevOps友好。同时，软件可以灵活设定检测周期，通过持续检测促使团队保持交付高质量代码的动力。