静态代码扫描调研

已于 2022-09-19 11:20:16 修改
阅读量759 收藏 4
点赞数 2
文章标签: 源代码管理 功能测试
于 2022-09-19 10:53:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33687006/article/details/126929438
版权

一、概念
静态代码分析也称静态分析,作为一种软件验证活动,它不要求执行代码,而是通过分析源代码实现质量、可靠性和安全性目的。使用静态分析,您可以识别可能危害您应用安全的缺陷和安全漏洞。静态分析不产生测试用例编写和代码检测配置的开销,因此可以较为经济地衡量和跟踪软件质量指标。

相比较于动态测试,动态测试需要QA编写和执行大量测试用例,由于动态测试不能穷尽所有情形,单靠它还不足以确保软件安全可靠。使用静态代码分析可以弥补动态测试的缺点,具有错误检测、成本低、检验编码标准是否合规和证明不存在严重运行时错误等多个功能优点。

二、背景
当前模型工程项目全部未接入静态代码扫描工具,急需要引入静态代码扫描工具用于发现代码中的安全问题,提升代码质量,保障代码规范和线上稳定运行,在稳定运行后可用于推广到其他项目组,用于项目质量检测。本次调研主要针对算法平台的go项目,因此主要针对是否适用于go语言进行工具调研。

三、调研方式
本次静态代码扫描工具调研主要采用搜索引擎关键字搜索的方式进行,主要信息来源为infoq、csdn、简书等网站。

四、主要内容
在这里插入图片描述

1.SonarLint

SonarLint是一个免费的开源IDE 插件,可识别并帮助您在编写代码时解决质量和安全问题。像拼写检查器一样,SonarLint 会显示缺陷并提供实时反馈和清晰的修复指导,以便从一开始就提供整洁的代码,如下为SonarLint在java项目中的一个使用结果,只需要右键项目点击Analyze with SonarLint即可执行一次代码质量检查,生成如图2所示的检测报告ÿ

最低0.47元/天 解锁文章
梅芳君君君
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【项目实战】使用DevOps工具链SonarQube实现静态代码扫描,并且导出相应的报告
本本本添哥
04-22 1304
下面是它们的区别:静态代码扫描是一种分析源代码的方法,它不需要运行代码。 它通过检查代码中的语法、结构和规则来查找潜在的问题。 静态代码扫描可以自动化执行,并且可以在代码提交之前或在构建过程中进行。 它可以帮助开发人员发现代码中的潜在问题,并提供修复建议。在Java中,您可以使用静态代码分析工具,例如Sonar、FindBugs或Checkstyle,来执行静态代码扫描。 这些工具可以检查代码中的常见问题,例如空指针引用、未使用的变量和不良的代码风格。动态代码扫描是一种分析正在运行的代码的方法。 它通过模拟
软件系统质量评审工具,方法和参考资料(融合Java-Python-C#-React)
Knight_Key的博客
06-20 743
它用 POM 模式封装了页面和元素常用的方法,自带一套简洁直观优雅的元素定位语法,实现了 selenium 和 requests 之间的无缝切换,可兼顾 selenium 的便利性和 requests 的高效率,更棒的是,它的使用方式非常简洁和人性化,代码量少,对新手友好。Appium允许测试人员使用他们最喜欢的编程语言(包括Java,Python,Ruby,PHP,JavaScript等)编写测试脚本,同时也允许他们在iOS和Android平台上使用相同的API来编写测试脚本,从而实现跨平台测试的目标。
千锋重庆Java小编分享几款Java代码质量检查工具
qf2019的博客
11-16 717
1.DeepSource DeepSource提供了可能是您能找到的最好的 Java 静态代码分析。该DeepSource的Java分析仪检测190多个代码的质量问题,包括性能的bug,安全风险,错误的风险,和反模式。目前,它支持 Gradle Java 项目,未来,DeepSource 也会增加对 Maven 和 Android 的支持。DeepSource 还致力于为 Java 分析器提供 Autofix 支持,这将使开发人员无需编写任何代码行即可修复问题。 特征 检测 170 多个代码质量问题。 当前
社区版SonarQube Go语言插件:打造更强大的Go代码质量管理平台
最新发布
gitblog_00088的博客
05-27 347
社区版SonarQube Go语言插件:打造更强大的Go代码质量管理平台 项目地址:https://gitcode.com/uartois/sonar-golang 在这个快速发展的编程世界里,保持代码的高质量至关重要。SonarQube作为一款强大的静态代码分析和持续集成工具,已经成为了众多开发者的选择。而针对Go语言的社区版SonarQube插件,则为Go程序员提供了更全面、更深入的质量管理...
代码分析工具 - SonarQube
Janet的博客
04-13 8370
1. 常见代码质量分析工具 1. DeepSource DeepSource是一种静态分析工具,可以智能化测试代码,帮助弄清楚几个关键方面的问题,比如性能、反模式、缺陷风险、安全漏洞、样式和文档问题。 功能: 可使用配置文件生成器进行简单配置。可对每个合并请求(PR)进行连续分析。误报较少。缺点: 目前只有SaaS Web应用程序这个版本,CLI版仍在开发中。2. embold embold使您可以对软件项目进行静态分析,并提供代码质量报告,其中包括检测到的问题的热图,可帮助您直观地查看导致代码
7个顶级静态代码分析工具
开发者技术前线-DevolperFront
12-28 4147
点击“开发者技术前线”,选择“星标????” 让一部分开发者看到未来 作者丨Saif Sadiq 来自:infoQ策划丨田晓旭 静态代码分析或源代码分析是指使用静态代码分析工具对软件的...
静态代码扫描工具TscanCode.zip
07-27
静态代码扫描工具TscanCode详解》 在软件开发领域,静态代码分析是保障代码质量、提高软件安全性和可维护性的重要手段。TscanCode是一款备受业界关注的静态代码扫描工具,它以其强大的功能和易用性,为开发者提供...
findbus+ant代码静态扫描
01-30
为了确保代码的质量,开发者通常会采用各种工具进行静态代码分析,以便在编码阶段发现潜在的问题。"findbus+ant代码静态扫描"就是一个这样的实践,它结合了FindBugs工具和Apache Ant自动化构建工具,帮助我们对代码...
TscanCode 是腾讯研发的静态代码扫描工具 for mac
02-17
TscanCode致力于帮助程序员从一开始就发现代码缺陷。 1. 支持多种语言:C/C++、C语言和LUA代码。 2. 快速准确,性能可达每分钟200K线,准确率达90%左右。 3. 使用方便,不需要严格的编译环境,一个命令即可运行。4. ...
SourceInsight代码静态扫描插件
12-17
SourceInsight静态C/C++代码扫描插件。 集成静态扫描在IDE中,帮助开发人员最快最低成本的发现潜在质量问题。 支持:规则配置,判空配置,误报屏蔽,快速跳转定位等功能。 功能清单 1.检测语法检查。 支持语法检查,...
deploy-sonar代码扫描分析
10-09
"deploy-sonar代码扫描分析"是一个针对软件代码质量进行深度检查的过程,它通常涉及到使用SonarQube这样的工具来执行静态代码分析和复杂度计算。SonarQube是一款开源平台,专门用于持续代码质量管理,它能检测出代码...
关于C++静态代码扫描工具及基于jenkins流水线搭建vs报告分析工具开发的小总结
lw的博客
08-08 896
常用使用命令–xml 将xml格式的结果写入错误流-q, --quiet 不显示进度报告。-h, --help 打印帮助信息执行文件 从github下载最新代码包 下载地址https://github.com/Tencent/TscanCode,如下为下好的代码暂时无法在飞书文档外展示此内容Tscancode 扫描示例代码C++代码路径为 \tscancode-master\samples。
JavaScript开发必备!这四款静态代码分析工具你了解吗?
weixin_43703144的博客
03-08 1390
随着现代软件开发实践的兴起,静态分析的重要性日益增强。静态代码分析使开发人员可以提高代码库的可读性和一致性,同时发现可能的错误和反模式。静态分析工具可帮助我们验证现代开发标准并评估其质量。 世界各地的大多数软件开发团队一直在使用静态代码分析工具。静态代码分析可识别错误和冗余的代码,并在将其投入生产之前对其进行修复。使用自动静态分析,我们不需要依赖动态分析,因为动态分析需要在处理器上执行代码来识别错误。 让我们看一下可以使用的一些最佳JavaScript静态分析工具。 为什么要对JavaScript使用静态
系统安全应用扫描代码扫描
weixin_43696837的博客
07-27 480
6.扫描完成后,会弹出通知框,可以查看是否存在错误。5.点击NEXT->scan,开始扫描。10.勾选测试地址,点击确定。11.点击测试,开始扫描
国产源代码扫描工具DMSCA扫描出的报告优秀吗?
xiaominggong的博客
07-01 1480
源代码扫描工具中,扫描报告是非常具有参考意义的,一方面可以了解我们开发项目的漏洞情况,另一方面也可以针对扫出的漏洞进行修复,确保开发出安全可靠的软件。误报和漏报是一个非常重要的参考指标。 国产源代码扫描工具DMSCA(端玛科技企业级源代码安全和质量缺陷扫描分析服务平台),在现如今源代码扫描工具和方案百花齐放的时代,一枝独秀,获得软件开发人员的一致好评。 源代码扫描工具DMSCA扫描出的报告也是非常优秀,找到的漏洞全面准确,误报率低,值得一用,官网即可免费试用三次,大家看完报告后不妨试试。
sonarqube、gitlab、gitlab-runner集成,实现代码push后立即扫描代码生成报告
ll535299的博客
07-20 3019
本文介绍gitlab代码托管平台集成gitlab-runner,并与sonar(sonarqube)配合,实现代码push到gitlab后,对代码进行静态扫描,生成质量报告。
安全测试代码扫描-报告模板
z_ran的博客
03-11 902
代码扫描、SonarQube
代码质量】静态代码检测pc-lint, visual lint, cpp-check(pclint、cppcheck、TscanCode)
bandaoyu的note
08-20 8084
引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。 如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 主流静态代码扫描工具概况 腾讯TSC团队自主研发的tscancode工具、cppcheck、coverity、clang、pclint 费用和活跃....
静态代码扫描
陈高爽的博客
04-28 7845
静态代码分析(Static program analysis):在不运行程序的条件下,进行程序分析。 编译流程差不多分为这5个阶段: 词法分析生成token流语法分析生成抽象语法树针对抽象语法树进行语义分析,构建内部数据结构,如控制流图、生成中间代码代码优化目标代码生成 静态代码扫描通常分为两种: 模式匹配:匹配代码编译过程中的token流、抽象语法树(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值