源代码分析工具

名字/链接	所有者	许可	平台	描述
.NET Security Guard		开源或免费		.NET、C\#、VB.net
42Crunch		商业的		REST API 安全平台，包括安全审计 (SAST)、动态一致性扫描、运行时保护和监控。
Agnitio		开源或免费	Windows	ASP、ASP.NET、C\#、Java、Javascript、Perl、PHP、Python、Ruby、VB.NET、XML
APIsecurity.io Security Audit		开源或免费		OpenAPI/Swagger 文件静态安全分析在线工具
Application Inspector	Positive Technologies	商业的		结合了SAST、DAST、IAST、SCA、配置分析等技术，包括。独特的抽象解释；能够生成测试查询（漏洞利用）以在 SAST 分析期间验证检测到的漏洞；支持的语言包括：Java、C\#、PHP、JavaScript、Objective C、VB.Net、PL/SQL、T-SQL 等。
AppSweep	Guardsquare	开源或免费	软件即服务	支持 CI/CD 集成的已编译 Android 应用程序的移动应用程序安全测试工具
Automated Security Helper	AWS	开源或免费		ASH 是安全扫描仪的一站式商店，不需要任何安装。它将识别不同的框架，并下载相关的最新工具。ASH 在隔离的 Docker 容器上运行，保持用户环境清洁，并提供单一聚合报告。支持以下框架：Git、Python、Javascript、Cloudformation、Terraform 和 Jupyter。
Bandit		开源或免费		Bandit 是一个全面的 Python 源漏洞扫描器
Bearer	Bearer	商业的	SaaS 或本地	映射敏感数据流并识别安全风险，例如未经授权的数据流、缺少加密、未经授权的访问等。
Betterscan CE (Community Edition)	Marcin Kozlowski	开源		使用多种工具进行代码扫描/SAST/静态分析/Linting/带有一份报告的扫描仪。目前支持：PHP、Java、Scala、Python、Ruby、Javascript、GO、秘密扫描、依赖混淆、特洛伊木马源代码、开源和专有检查（总共约 1000 次检查）。还支持微分分析。目标是使用许多工具/扫描仪生成一份报告
Beyond Security beSOURCE	Beyond Security	商业的		静态应用程序安全测试 (SAST) 曾经与代码质量审查分离，导致影响和价值有限。beSOURCE 解决应用程序的代码安全质量问题，从而将 SecOps 集成到 DevOps 中。
BlueClosure BC Detect	BlueClosure	商业的		分析客户端 JavaScript。
Brakeman		开源或免费		Brakeman 是专为 Ruby on Rails 应用程序设计的开源漏洞扫描程序
bugScout	Nalbatech, Formerly Buguroo	商业的
CAST AIP		商业的		执行静态和架构分析以识别多种类型的安全问题。支持超过 30 种语言。[AIP 的安全特定覆盖范围在这里](https://www.castsoftware.com/solutions/application-security/cwe#SupportedSecurityStandards)。
clj-holmes	clj-holmes	开源	Linux 和 MacO	一个 CLI SAST（静态应用程序安全测试）工具，旨在通过使用简单模式语言的规则来查找易受攻击的 Clojure 代码。
CloudDefense	CloudDefense	商业的	SaaS 或本地	CloudDefense 提供跨所有攻击面的整体威胁情报 - 容器、Kubernetes、代码、开源库、API 等等……
Codacy		商业的		为 Python、Ruby、Scala、Java、JavaScript 等语言提供安全模式。与 Brakeman、Bandit、FindBugs 等工具集成。（开源项目免费）
CodeScan Cloud		商业的		一个专注于 Salesforce 的 SaaS 代码质量工具，利用 SonarQube 的 OWASP 安全热点提供 Apex、Visualforce 和 Lightning 专有语言的安全可见性。
CodeSonar	GrammaTech	商业的		支持 C、C++、Java 和 C# 并针对 OWASP 十大漏洞进行映射的工具。
Codiga	Codiga	商业的	SaaS 或本地	Codiga 会扫描您的代码，并在每次推送或拉取请求时发现代码中的安全性、安全性、设计、性能和可维护性问题。它与 GitHub、GitLab 和 Bitbucket 集成。
CoGuard	Heinle Solutions Inc.	商业的	SaaS 或本地	用于基础架构配置分析的 SAST 工具。支持常见的 Web 服务器、数据库、流服务、身份验证服务、容器编排和基础设施即代码工具。
Contrast Assess		商业的		对比执行代码安全性而不实际进行静态分析。Contrast 进行交互式应用程序安全测试 (IAST)，关联运行时代码和数据分析。它提供了代码级别的结果，而实际上并不依赖于静态分析。
Coverity Static Analysis	Synopsys	商业的		Apex、C/C++、C#、CUDA、Java#、JavaScript、PHP、Python、.NET Core、ASP.NET、Objective-C、Go、JSP、Ruby、Swift、Fortran、Scala、VB.NET、iOS、Android , 打字稿, Kotlin
CxSAST	Checkmarx	商业的	Saas 或本地。具有 CI/CD 和 IDE 插件集成的 Windows 和 Linux	运行完整或增量源代码安全扫描。支持的语言包括 Javascript、Java、Apex、PHP、Python、Swift、Scala、Perl、Groovy、Ruby、C++、C#.NET、PL/SQL、VB.NET、ASP.NET、HTML 5、Windows Mobile、Go 和科特林。
Dawnscanner		开源或免费		Dawnscanner 是一个开源的 Ruby 安全源代码分析器，支持主要的 MVC 框架，如 Ruby on Rails、Padrino 和 Sinatra。它也适用于用 Ruby 编写的非 Web 应用程序。
Deep Dive		开源或免费		字节码分析工具，用于发现 Java 部署（EAR、WAR、JAR）中的漏洞。
DeepSource	DeepSource Corp.	商业的	SaaS 或本地	DeepSource 通过强大的静态分析、OWASP Top 10 合规性和 Autofix 帮助公司发布干净、安全的代码。支持所有主要的编程语言。
DerScanner	DerScanner Ltd.	商业的		能够通过分析源代码或可执行文件来识别 30 多种编程语言中的漏洞和后门（未记录的功能），而无需调试信息。
DevBug		开源或免费	基于网络	PHP
ECG	VoidSec	商业的		SaaS TCL 静态源代码分析工具能够检测 TCL/ADP 源代码中真实和复杂的安全漏洞。发现的漏洞将根据 OWASP 前 10 个漏洞进行映射。
Enlightn	Enlightn Software	开源		Enlightn 是专为 Laravel PHP 应用程序设计的漏洞扫描程序，它结合了 SAST、DAST、IAST 和配置分析技术来检测漏洞。
Find Security Bugs		开源或免费		Java、Scala、Groovy
FindBugs		开源或免费		查找 Java 程序中的错误（包括一些安全漏洞）[Legacy - NOT Maintained - Use SpotBugs (see other entry) instead]
FindSecBugs		开源或免费		SpotBugs 的安全特定插件，显着提高了 SpotBugs 在 Java 程序中发现安全漏洞的能力。也适用于旧的 FindBugs。
Flawfinder		开源或免费		扫描 C 和 C++。
Fluid Attack's Scanner	Fluid Attacks	开源		SAST、DAST 和 SCA 漏洞检测工具，具有完美的 OWASP 基准分数。
Fortify	Micro Focus	商业的	Windows、Linux 和 MacOSX	提供免费试用扫描。支持的语言包括：ABAP/BSP、ActionScript/MXML (Flex)、APEX、ASP.NET、VB.NET、C\# (.NET)、C/C++、Classic ASP (w/VBScript)、COBOL、ColdFusion CFML、 Go、HTML、Java（包括 Android）、JavaScript/AJAX、JSP、Kotlin、Objective-C、PHP、PL/SQL、Python、Typescript、T-SQL、Ruby、Scala、Swift、Visual Basic (VB.NET)、 Visual Basic 6、VBScript、XML
GitGuardian — Automated Secrets Detection		商业的	SaaS 或本地	通过私有或公共源代码的自动秘密检测和修复来保护您的软件开发。
GitHub Advanced Security	GitHub	开源或免费	SaaS 或本地	GitHub Advanced Security 使用 CodeQL 进行静态代码分析，使用 GitHub Secret Scanning 来识别令牌。GitHub代码扫描可以从任何其他SAST工具导入SARIF
GitLab	GitLab	商业的	软件即服务、Linux、Windows
GolangCI-Lint		开源或免费		Go Linters 聚合器 - 其中一个 Linter 是 [gosec (Go Security)](https://github.com/securego/gosec)，默认情况下它是关闭的，但可以轻松启用。
Google CodeSearchDiggity		开源或免费		使用 Google Code Search 来识别由 Google Code、MS CodePlex、SourceForge、Github 等托管的开源代码项目中的漏洞。该工具带有超过 130 个默认搜索，可识别 SQL 注入、跨站点脚本 (XSS)、不安全的远程和本地文件包含、硬编码密码等等。*从本质上讲，Google CodeSearchDiggity 提供了几乎所有现有开源代码项目的源代码安全分析——同时进行。*
Graudit		开源或免费	Linux	扫描多种语言以查找各种安全漏洞。基本上是安全增强代码Grep。
HCL AppScan CodeSweep - GitHub Action	HCL Software	开源或免费		使用 GitHub 操作扫描推送/拉取请求中的新代码。发现在“文件已更改”视图中突出显示，有关问题和缓解步骤的详细信息可以在“操作”页面中找到。免费试用帐户允许无限制使用。该工具目前支持 Python、Ruby、JS（Vue、React、Node、Angular、JQuery 等）、PHP、Perl、COBOL、APEX 等等。
HCL AppScan CodeSweep - IDE	HCL Software	开源或免费		这是 AppScan 的第一个社区版版本。它以 VS Code [HCL AppScan CodeSweep - Visual Studio Marketplace] 和 JetBrains [HCL AppScan - IntelliJ IDEs Plugin | Marketplace]（IntelliJ IDEA、CLion、GoLand、PhpStorm、PyCharm、Rider、RubyMine、WebStorm ) 插件并在保存文件时对其进行扫描。结果显示发现的位置、类型和补救建议。该工具目前支持 Java、.Net、Go、Python、Ruby、JS（Node、Angular、JQuery 等）、PHP、Perl、COBOL、APEX 等等。一些问题的自动修复可通过免费试用获得。
HCL AppScan on Cloud	HCL Software	开源或免费		Apex、ASP、C、C++、COBOL、ColdFusion、Go、Java、JavaScript（客户端 JavaScript、Kotlin、NodeJS 和 AngularJS）、.NET（C#、ASP.NET、VB.NET）、.NET Core、Perl , PHP, PL/SQL, Python, Ruby, T-SQL, Swift, Visual Basic 6
HCL AppScan Source	HCL Software	商业的		Android、Apex、ASP、C、C++、COBOL、ColdFusion、Go、Java、JavaScript（客户端 JavaScript、NodeJS 和 AngularJS）、.NET（C#、ASP.NET、VB.NET）、.NET Core、Perl , PHP, PL/SQL, Python, Ruby, T-SQL, Visual Basic 6
Hdiv Detection	Hdiv Security	商业的		Hdiv 无需实际进行静态分析即可执行代码安全性。Hdiv 进行交互式应用程序安全测试 (IAST)，关联运行时代码和数据分析。它提供代码级结果，而实际上并不依赖于静态分析。
Horusec		开源或免费		C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart、Elixir、Shell、Nginx、Swift
HuskyCI		开源或免费		HuskyCI 是一个开源工具，可在多个项目的 CI 管道内编排安全测试，并将所有结果集中到数据库中以供进一步分析和衡量。HuskyCI 可以在 Python (Bandit and Safety)、Ruby (Brakeman)、JavaScript (Npm Audit and Yarn Audit)、Golang (Gosec) 和 Java (SpotBugs plus Find Sec Bugs) 中执行静态安全分析
Insider CLI	InsiderSec	开源或免费		一个开源静态应用程序安全测试工具 (SAST)，用 GoLang 编写，用于 Java Maven 和 Android)、Kotlin (Android)、Swift (iOS)、.NET Full Framework、C# 和 Javascript (Node.js)。
Kiuwan	a division of Idera, Inc.	商业的		提供应用程序安全测试和分析平台（包括 SAST 和 SCA 解决方案），以降低风险并改进变更管理和 DevOps 流程
Klocwork	Perforce	商业的		C、C++、C#、Java、JavaScript、Python、Kotlin 的静态代码分析
Kroogal		商业的		C、C++
LGTM		开源或免费		一种免费的开源静态分析服务，可自动监控对 Bitbucket Cloud、GitHub 或 GitLab 中可公开访问的代码的提交。支持 C/C++、C\#、Go、Java、JavaScript/TypeScript、Python。
Mend SAST	Mend	商业的		27 多种语言的静态安全分析。
Microsoft FxCop		开源或免费		.NET
Microsoft PREFast		开源或免费		C、C++
MobSF		开源或免费		移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。
MobSF		开源或免费	Windows，Unix	Android Java、Objective C、Swift
NextGen Static Analysis	ShiftLeft	商业的	软件即服务	提供免费版本。目前支持 Java、JavaScript、C#、TypeScript、Python 和 Terraform。在 ShiftLeft 创建您的免费帐户。
nodejsscan		开源或免费	Unix	Node.js
Nucleaus Core	Nucleaus	商业的	软件即服务	每天扫描 Git 存储库并提供基于 Web 的仪表板来跟踪代码和依赖项漏洞。处理基于团队的访问模式、漏洞异常生命周期，并建立在 API 第一原则之上。
Offensive360		商业的		SAST 技术，从各个角落攻击源代码，它一应俱全。恶意软件、SCA、许可证和深度源代码分析。
Oversecured	Oversecured Inc	商业的	iOS、安卓	适用于 Android 和 iOS 应用程序的企业漏洞扫描程序。它通过将 Oversecured 集成到开发过程中，使应用程序所有者和开发人员能够保护移动应用程序的每个新版本。
OWASP ASST (Automated Software Security Toolkit)	Tarik Seyceri & OWASP	开源或免费	Ubuntu、MacOSX 和 Windows	一个开源的源代码扫描工具，使用 JavaScript（Node.js 框架）开发，根据 OWASP Top 10 和其他一些 OWASP 的著名漏洞扫描 PHP 和 MySQL 安全漏洞，并教开发人员如何在扫描后保护他们的代码.
OWASP Code Crawler	OWASP	开源		.NET、Java
OWASP LAPSE Project	OWASP	开源		java
OWASP Orizon Project	OWASP	开源		java
OWASP WAP (Web Application Protection)	OWASP	开源		PHP
ParaSoft		开源或免费		C、C++、Java、.NET
Parasoft Test	Parasoft	商业的		用于 C/C++、.NET、Java 的测试工具
phpcs-security-audit		开源或免费		一组 PHP_CodeSniffer 规则，用于查找与 PHP 及其流行的 CMS 或框架中的安全性相关的缺陷或弱点。它目前具有核心 PHP 规则以及 Drupal 7 特定规则。
PITSS.CON	PITTS	商业的		扫描 Oracle Forms and Reports 应用程序
PMD		开源或免费		PMD 扫描 Java 源代码并寻找潜在的代码问题（这是一个不关注安全问题的代码质量工具）。
Polyspace Static Analysis Tools		商业的		C、C++、Ada
PreFast	Microsoft	开源或免费		PREfast 是一个静态分析工具，用于识别 C/C++ 程序中的缺陷。上次更新 2006 年。
Progpilot		开源或免费		Progpilot 是一个用于 PHP 的静态分析工具，用于检测 XSS 和 SQL 注入等安全漏洞。
Psalm	Vimeo, Inc.	开源		PHP 项目的静态代码分析，用 PHP 编写。
PT Application Inspector	Positive Technologies	商业的		结合 SAST、DAST、IAST、SCA、配置分析和其他技术以实现高精度。可以生成特殊的测试查询（漏洞利用）来验证 SAST 分析期间检测到的漏洞。支持 Java、C\#、PHP、JavaScript、Objective C、VB.Net、PL/SQL、T-SQL 等。
Puma Scan	Puma Security	商业的		作为 Visual Studio IDE 扩展、Azure DevOps 扩展和命令行 (CLI) 可执行文件运行的 .NET C\# 静态源代码分析器。
Puma Scan Professional		开源或免费		.NET，C\#
PVS-Studio		开源或免费		C、C++、C\#
PVS-Studio Analyzer	PVS-Studio	商业的		针对 C、C++、C# 和 Java 的静态代码安全分析。一种商业 B2B 解决方案，但提供了几个免费的 [许可选项](https://www.viva64.com/en/b/0614/)。
Pyre		开源或免费		Python 3 的高性能类型检查器，还具有 [有限的安全性/数据流分析](https://pyre-check.org/docs/pysa-basics.html) 功能。
reshift		商业的		一种用于 Java 的 CI/CD 静态代码安全分析工具，它使用机器学习来预测误报。
SecureAssist	Synopsys	商业的		自动扫描代码以查找不安全的编码和配置，作为 Eclipse、IntelliJ 和 Visual Studio 等的 IDE 插件。支持 Java、.NET、PHP 和 JavaScript。
Security Code Scan		开源或免费		.NET 的静态代码分析器。它会发现 SQL 注入、LDAP 注入、XXE、密码学弱点、XSS 等。
Seeker	Synopsys	商业的		Seeker 无需实际进行静态分析即可执行代码安全性。Seeker 进行交互式应用程序安全测试 (IAST)，将运行时代码和数据分析与模拟攻击相关联。它提供了代码级别的结果，而实际上并不依赖于静态分析。
Semgrep		开源或免费		多种语言的轻量级静态分析。查找具有类似于源代码的模式的错误变体。无需编译即可扫描源代码。支持 Go、Java、JavaScript、JSON、Python、TypeScript 等。
Sentinel Source	Whitehat	商业的		10 多种语言的静态安全分析。
ShiftLeft Scan		开源或免费		一个免费的开源 DevSecOps 平台，用于检测源代码和依赖项中的安全问题。它通过将各种开源扫描程序捆绑到管道中来支持广泛的语言和 CI/CD 管道。
Sink Tank		开源或免费		Java 字节码静态代码分析器，用于执行源/接收器（污点）分析。
Snyk	Snyk Limited	商业或免费	SaaS、IDE 插件	查找、学习和修复开源依赖项、应用程序代码、容器映像或 Terraform 和 Kubernetes 中的不安全配置中的漏洞。
SonarCloud		开源或免费		ABAP、C、C++、Objective-C、COBOL、C\#、CSS、Flex、Go、HTML、Java、Javascript、Kotlin、PHP、PL/I、PL/SQL、Python、RPG、Ruby、Swift、T- SQL、TypeScript、VB6、VB、XML
SonarQube		开源或免费		扫描 15 种语言的源代码中的错误、漏洞和代码气味。[SonarLint](https://www.sonarlint.org/) 提供的用于 Eclipse、Visual Studio 和 IntelliJ 的 SonarQube IDE 插件。
Spectral	SpectralOps	开源或免费	多平台和多架构。Linux/Windows/MacOSx/*nix。与编程语言无关	发现、分类和保护您的代码库、日志和其他资产。监控和检测 API 密钥、令牌、凭据、高风险安全错误配置等。
Splint		开源或免费		C
SpotBugs		开源或免费		java。这是 FindBugs 的活动分支替代品，不再维护。很少有安全感。FindSecBugs 插件提供安全规则。
Static Reviewer	Security Reviewer	商业的	Windows和Linux；本地和云端；桌面、CLI 和 CI/CD 和 IDE 插件集成	Static Reviewer 使用 1000 多种内置验证规则，根据 40 多种编程语言的最相关安全编码标准执行代码检查。
Understand	SciTools	商业的	Windows、MacOSX、Linux	使用图形、文档和指标提供静态代码分析的 IDE。扫描代码以检查漏洞并确保符合 MISRA 和 AUTOSAR 等标准。适用于 20 种语言，包括 C、C++、C#、JavaScript、Python 和 Java。
Veracode		开源或免费		Android, ASP.NET, C\#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails、Scala、Titanium、TypeScript、VB.NET、Visual Basic 6、Xamarin
Veracode Static Analysis	Veracode	商业的
VisualCodeGrepper		开源或免费	Windows	C/C++、C\#、VB、PHP、Java、PL/SQL
VisualCodeGrepper (VCG)		开源或免费		扫描 C/C++、C\#、VB、PHP、Java、PL/SQL 和 COBOL 以查找安全问题和可能指示有缺陷代码的注释。配置文件可用于对禁用功能或通常会导致安全问题的功能进行额外检查。
VS Code OpenAPI (Swagger) Editor extension		开源或免费		Microsoft Visual Studio Code 的插件，可为 REST API 合约提供丰富的编辑功能，还包括 linting 和安全审计（静态安全分析）。
Xanitizer	Xanitizer	商业的	CLI 和插件集成	适用于 Java、Scala 和 JavaScript/TypeScript 的 SAST 工具，主要通过污点分析。根据此定价页面，如果您联系供应商，开源项目是免费的。