开源代码扫描工具

已于 2024-08-15 11:02:12 修改
阅读量250 收藏 1
点赞数 10
文章标签: opensource
于 2024-08-13 17:30:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lh2008xp/article/details/141169392
版权

(1) 开源组件级别开源组成分析工具

这类开源组成分析工具主要是对开源组件进行检测,代表工具有Black Duck、CAST Highlight和Sonatype Nexus。Black Duck是一家美国公司推出的同名软件产品,于2002年上市,主要提供全面的软件组件分析(SCA)解决方案,用于管理在应用程序和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。Black Duck可以集成到整个应用程序生命周期,也可以作为单独一款开源软件组成分析工具来使用;CAST Highlight是一家法国公司于2017年推出的开源软件组成分析工具,提供软件组件分析解决方案,其在分析开源软件的安全、许可证的风险之外还有单独一项功能是用于分析代码质量的,专注于分析编写代码的规范、语句等质量问题;Sonatype Nexus是2008年由以色列开发的一款开源组成分析工具,该工具帮助软件开发团队安全使用开源,分析开源项目中的成分,可以使开发团队更快地发现并自动控制风险,该工具做到了自动化检测,不需要人工干预,并且关注整个开发运维流程。

(2) 开源文件及代码片段级别开源组成分析工具

这类开源组成分析工具主要是对开源文件或代码片段进行检测,代表工具有Fossid、Fossology。Fossid于2016年在瑞典诞生,区别于前三款工具,Fossid对开源代码片段进行比对和识别,可以帮助展示开源软件中的开源许可证以及相关的合规性,也能够发现并展示出开源软件存在的安全漏洞。Fossid拥有一个知识库,包含了超过3700万的开源项目、超过70亿的代码文件,设计安全漏洞的开源项目超过8000个;Fossology是2017年托管在Linux基金会安全与合规9个项目下的一个子项目,是一个开源的许可证扫描工具。用户可上传单个文件或者整个软件包作为一个工具包,通过自定义规则进行软件扫描,进行开源许可证识别,可用在对软件的开源许可证清点上。

国内工具:

清源SCA(CleanSource SCA)

国外工具:

Black Duck/Fossid/Fossology

Amos_Lee1987
关注
FOSSID(开源代码检测工具
Cuzlove的博客
02-09 1万+
FOSSID简介: FOSSID总部位于瑞典首都斯德哥尔摩。由一群开源技术专家组成的研发团队,该团队拥有18年的开源研发、管理、测试经验。 在Github、Gitkraken等全球知名开源社区的开源代码检测工具排行榜均位列第一。而在中国的开源社区及开源治理白皮书中多次被提名。 作为开源治理的标杆,中国赛迪检测认证中心、中国赛宝实验室,中国电子技术标准化研究院塞西实验室,中国信息通信研究院,中国信息安全测评中心率先成为了该产品使用单位,其具的检测报告就是...
一款很好用的国产静态源代码扫描工具-DMSCA
测试0901-1
03-25 2136
端玛企业级静态源代码扫描分析服务平台(英文简称:DMSCA)是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷,让软件发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题,并依据提供的专业中肯的修复建议,快速修复。提高软件产品的可靠性、安全性。同时兼容并达到国...
探秘YuhScan:一款高效、智能的代码扫描工具
gitblog_00097的博客
04-07 443
探秘YuhScan:一款高效、智能的代码扫描工具 yuhScan项目地址:https://gitcode.com/gh_mirrors/yu/yuhScan 项目简介 在软件发领域,保障代码质量与安全至关重要。为此,我们向您推荐一款开源代码扫描工具——。由 hunyaio 团队打造的 YuhScan 是一个基于 Go 语言编写的静态代码分析工具,旨在帮助发者发现潜在的安全漏洞和编码不规范问...
探索DzScan:一款强大的开源代码安全扫描工具
gitblog_00045的博客
03-27 530
探索DzScan:一款强大的开源代码安全扫描工具 项目地址:https://gitcode.com/code-scan/dzscan 在软件发过程中,保证代码的安全性是至关重要的。DzScan是一款面向发者设计的开源代码安全扫描工具,它帮助发者快速发现并修复潜在的安全漏洞和不良编程实践。本文将详细介绍DzScan的功能、技术实现、应用场景以及其独特优势。 项目简介 DzScan是一个轻量级且...
牛逼!GitHub 耗时整整一年发的代码扫描工具终于上线了!
静觅
10-05 1234
“ 阅读本文大概需要 5 分钟。 ”转载于:Github 中文社区作者:huber就在 9 月的最后一天始,你在 GitHub 上传的代码可以免费使用 Bug 筛查功能了。官方的目的...
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
没刮胡子的程序员专栏
11-23 8445
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
开源代码审查工具Sonarqube简单使用
Braycep的博客
04-13 6741
Your teammate for Code Quality and Code Security
TscanCode 是腾讯研发的静态代码扫描工具 for mac
02-17
TscanCode致力于帮助程序员从一始就发现代码缺陷。 1. 支持多种语言:C/C++、C语言和LUA代码。 2. 快速准确,性能可达每分钟200K线,准确率达90%左右。 3. 使用方便,不需要严格的编译环境,一个命令即可运行。4. ...
四种常用的java代码扫描工具介绍
03-30
本文主要介绍了四种常用的 Java 代码扫描工具,并对它们的功能、特性等方面进行了分析和比较。这些工具分别是 Checkstyle、FindBugs、PMD 和 Jtest。静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的...
4种代码扫描工具分析.docx
08-27
"代码扫描工具分析" 本文从静态代码分析的基本概念始,介绍了四种主流 Java 静态代码分析工具(Checkstyle、FindBugs、PMD、Jtest),并对它们进行了功能和特性方面的分析和比较。静态代码分析是指无需运行被测...
JAVA代码检查工具开源
12-04
JAVA代码检查工具开源) JAVA代码检查工具开源) JAVA代码检查工具开源) JAVA代码检查工具开源) JAVA代码检查工具开源
静态网页源代码扫描工具
12-22
以前参加竞赛的时候做的一个东西,原本是想做个大集合的,php,asp,jsp源码的漏洞扫描。到后来时间不足,只做了php4.0的扫描功能;内附报告以及程序和源代码
源码安全扫描
qiaotl的博客
05-10 4714
利用Spotbug进行静态代码安全扫描
免费的源代码扫描工具——alibaba (搭配IDEA使用)
HmmHmmH的博客
07-17 2377
2.在搜索框输入alibaba ,找到Alibaba Java Coding Guidelines,点击Install安装(因为我已经安装好了,所以我的按钮是Installed并置灰),安装好后,重启IDEA。1.IDEA打File-->Settings-->Plugins 插件下载中心。3.在Tools里面看见阿里编码规范就代表已经安装好了,可以始使用了。6.点到指定的类上面,有的会有快捷修复,点击之后插件会帮你修复。5.扫描成功后,会按照三个等级来归纳不符合规约的代码
探索TscanCode:腾讯开源代码安全扫描工具
gitblog_00085的博客
04-12 1083
探索TscanCode:腾讯开源代码安全扫描工具 项目地址:https://gitcode.com/TencentOpen/TscanCode TscanCode 是由腾讯开源的一个强大的静态代码分析工具,旨在帮助发者在发过程中提前发现并修复代码的安全隐患。本文将深入探讨其核心技术、应用场景和独特特点,以期让更多人了解并利用这一高效能的工具。 项目简介 TscanCode是一个基于深度学习的...
优秀的源代码扫描工具对比分析,DMSCA-企业级静态源代码扫描分析服务平台,VeraCode静态源代码扫描分析服务平台,Fortify Scan
NateIT的博客
06-30 612
通过最常见的通讯工具联系本作者,作者为NateIT 针对企业信息系统源代码中可能存在的安全漏洞,可以运用基于历史漏洞信息的智能学习技术进行检测。通过采集海量开源代码并提取其中漏洞代码的方法构建样本集,提取漏洞比对特征进行模型训练,形成原型系统,实现对系统源代码进行安全性检测,并辅助工程人员快速进行源代码漏洞的定位与修复,大幅提高代码安全检测与维护的工作效率。总体目标如下: (1)使用多渠道、多版本、多来源的软件模块代码采集技术,对企业信息系统代码开源代码和第三方代码分别进行爬取;针对开源代码各个模
安全扫描工具_谷歌又一开源利器Atheris,Python代码安全扫描工具
weixin_39640773的博客
12-13 363
近日谷歌开源了一款Python代码安全漏洞扫描工具Atheris,希望发者在漏洞被利用之前能够用它来发现安全漏洞并修补漏洞。pythonAtheris介绍Atheris目前基于Apache-2.0 License开源在github上,Atheris是一个典型的漏洞检查工具,它支持 Python 代码的安全扫描,也支持为 CPython 编写的本机扩展。当检查本地代码时,通过为软件应用程序提供大量...
开源项目推荐:ScanCode Workbench —— 您的桌面代码扫描神器!
最新发布
gitblog_00032的博客
06-14 289
开源项目推荐:ScanCode Workbench —— 您的桌面代码扫描神器! scancode-workbench:bar_chart: ScanCode Workbench is a desktop app to review and conclude license and origin from code scans generated by ScanCode Toolkit.项目地址...
开源代码扫描工具有哪些
05-23
开源代码扫描工具有很多,以下列举一些主要的: 1. SonarQube:是一款流行的开源代码扫描工具,可以检查多种编程语言的代码质量和安全漏洞。 2. FindBugs:是针对 Java 代码的静态分析工具,可以检查常见的代码错误和潜在的安全漏洞。 3. PMD:也是针对 Java 代码的静态分析工具,可以检查代码质量和安全漏洞,并提供代码重构建议。 4. Checkstyle:是针对 Java 代码的静态分析工具,可以检查代码风格和规范是否符合指定的标准。 5. ESLint:是针对 JavaScript 代码的静态分析工具,可以检查代码质量和规范是否符合指定的标准。 6. Clang Static Analyzer:是针对 C、C++ 和 Objective-C 代码的静态分析工具,可以检查常见的代码错误和潜在的安全漏洞。 7. Brakeman:是针对 Ruby on Rails 应用程序的静态分析工具,可以检查安全漏洞和代码质量。 8. Bandit:是针对 Python 代码的静态分析工具,可以检查安全漏洞和代码质量。 9. Infer:是 Facebook 开源的静态分析工具,可以检查 C、C++、Java 和 Objective-C 代码的安全漏洞和内存泄漏等问题。 10. RIPS:是一款专注于 PHP 代码的静态分析工具,可以检查安全漏洞和代码质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值