代码静态分析工具

随着逐渐增加的系统复杂性和不断加快的产品发布周期，静态代码分析工具在整个产品开发过程中的价值也日益凸显，开发人员在每次提交代码之前都会运行一个静态分析工具，在这些缺陷变成威胁之前找到它们，因为这些威胁会让公司耗费更多的成本和时间。

下面给大家介绍几款国外的静态分析工具，希望能帮助大家了解各工具的侧重以及查找这些工具的渠道。

1、HelixQAC
服务商：http://qa-systems.cn/multi/575.html

简介：
Helix QAC是一款静态代码分析工具，它依据C和C++编码规则自动扫描代码对规则的违背。开发团队在开发过程的早期就可以用它来检测缺陷，所以使用这款工具修改代码是最方便也最经济的。Helix QAC能够自动化强制实施代码编程标准，比如MISRA、AUTOSAR、CERT等，保证代码的合规性。

特性

• 支持多种C和C++编码标准，提供相应的合规性模块，也支持标准的客户化定制。
• 建立了精确的行为模型，跟踪代码中的变量值，检查更多缺陷，使误报和漏报达到最低。
• 以风险的严重程度划分编码问题的优先级。
• 提高代码质量
• 协同代码审查
• 适应数百万行代码
• 重用质量信得过的代码
• Helix QAC能集成在构建系统和持续集成环境中，尽早且频繁地发现缺陷，从而避免了在开发后期往往需要花费甚巨的错误。它也加速了当前代码的评审，用户甚至可以只让它检查新的代码变化，快速提供反馈。
• 监视整体代码质量
• 集成其它工具集
• Helix QAC仪表盘集中存储分析结果，通过Web浏览器访问。分析结果以“快照”的方式上传，随时间监控代码质量与合规性度量，提供视图与报告的定制化。
• Helix QAC经过了独立的标准认证，Helix QAC是由Programming Research开发的，现在是Perforce的组成之一。

2、Klocwork

产品链接：http://www.softtest.cn/show/232.html

简介：

Klocwork SAST分析C、C++、C#、Java、Python和JavaScript语言，识别软件的安全、质量和可靠性问题，确保对编程标准的合规性。适用于企业DevOps和DevSecOps，可扩展到任何规模的项目，集成大型复杂的环境、广泛的开发工具、提供控制、协作与报告。

支持语言;

C、C++、C#、Python、Java、JavaScript
支持代码缺陷检测，支持数组问题、内存资源问题、指针问题，数据问题，线程并发问题。安全问题，各类注入问题，易受攻击的代码。兼顾代码度量和合规性性分析，且有架构分析，代码重构功能。

3、CodeSonar

产品链接：http://www.softtest.cn/show/42.html

简介：

CodeSonar是软件静态缺陷检查和安全性分析工具，帮助团队快速分析和验证代码，识别导致系统故障、可靠性差、系统漏洞或不安全条件的严重漏洞或错误。通过在并发性分析、污染数据流分析和全面检测等技术上的创新，CodeSonar比其他同类型工具发现更为重要的缺陷。CodeSonar可以集成到软件开发环境中，可以悄无声息地陪着开发人员工作，并提供快速反馈。CodeSonar 已通过 IEC 61508、ISO 26262 和 CENELEC EN50128 标准的最高安全等级资格审定。也提供用于 DO-178C/DO-330 合格审定的工件。CodeSonar 提供了全面的代码理解功能，帮助开发人员快速理解和修复问题。

支持语言：

C、C++、C#、Java

支持的平台：WindowsLinuxSolaris

4、Parallelware Analyzer

产品链接：http://www.softtest.cn/show/264.html

简介：

Appentra的Parallelware Analyzer是第一个专门为提高C/C++代码性能而设计的静态代码分析器。早期的源代码分析仅限于bug、编码标准实施或安全性，也可能是这些功能的组合。虽然很重要，但还没有采取任何措施确保代码的编写利用了芯片制造商在低功耗多核处理器中提供的现代硬件的能力。Parallelware Analyzer提供的性能优化报告含有高可读的可 *** 作内容，包括：机会、建议、缺陷和评论。这些信息是在函数和循环上显示的，信息的后面是代码覆盖摘要和性能指标摘要。用户能够控制信息显示的详细程度，同时获得关于下一步 *** 作的建议，无论这些建议是对应于代码更改还是进一步调用 Parallelware Analyzer 以挖掘更多的信息。

支持语言：

C/C++ 和 Fortran

5、QA MISRA

产品链接：http://www.softtest.cn/show/270.html

简介：

QA-MISRA检查源代码中的900多个潜在软件错误。通过使用QA-MISRA进行静态分析，可以在早期阶段轻松发现危险结构以及安全、维护和移植问题。QA MISRA自动检查用户的C或C++代码符合MISRA和AUTOSAR规则，以及安全标准：SEI Cert C/C++，CWE，ISO/IEC TS 17961，HIS Metrics等。

6、Embold

产品链接：http://www.softtest.cn/show/226.html

Embold 能够一目了然地了解软件质量的状况。Embold 不仅可以检测问题，还可以推荐解决方案，并将代码分析提高到一个新水平，所有这些都由人工智能（AI）支持。Embold 使用专有的“多向量”诊断技术来分析软件组件中的热点，它从多个方面（例如代码质量，代码设计，指标和重复项）分析源代码，以计算 Embold 评分，该评分代表了软件总体质量。

主机：

云：在位于德国法兰克福的 AWS 数据中心上安全运行。

本地：Windows（7，8，10，Server 2012、2016），Linux（Ubuntu， Redhat，CentOs），其他（可自定义部署）。

更多详情：打开链接&