如果您是軟件開發(fā)人員或代碼安全分析師，則通常需要分析源代碼以檢測安全漏洞并維護安全的質(zhì)量代碼。但是您的代碼中可能存在許多難以手動發(fā)現(xiàn)的問題。畢竟，我們?nèi)匀皇侨祟?，因此即使是最高級的安全分析師也都會錯過一些安全漏洞。我們提供了源代碼分析工具功能強大的工具，可以快速，自動地檢查引擎蓋下的所有內(nèi)容，而無需執(zhí)行代碼，并且成為人眼的完美伴侶。

源代碼分析工具也稱為靜態(tài)應用程序安全性測試工具或SAST工具，旨在向開發(fā)人員提供有關(guān)他們可能在代碼中引入的問題的即時反饋，這與在軟件開發(fā)生命周期中后期查找漏洞相比非常有用。循環(huán)（SDLC）。

從一開始就隨著創(chuàng)建高質(zhì)量安全代碼的增加，出現(xiàn)了向采用這些工具的更大轉(zhuǎn)變。如今，市場上沒有大量可用的工具，但是對于初創(chuàng)公司和自由職業(yè)者來說，商業(yè)選擇太昂貴了，但是請不要擔心，這里列出了一些頂級的免費開源靜態(tài)代碼分析工具。

1. VisualCodeGrepper

VisualCodeGrepper是針對常用的最流行的編程語言的超快速且強大的源代碼分析工具，全面的掃描工具，它是針對C，C ，C＃，VB，PHP，Java，PL / SQL和COBOL的自動化工具，可大大加快代碼的速度通過識別不安全的代碼來檢查過程。它嘗試在注釋中查找可以指示代碼損壞的短語，并通過統(tǒng)計數(shù)據(jù)和餅圖提供詳細的報告。它具有一些很棒的功能，這對進行代碼分析的任何人都非常有用，尤其是在時間很昂貴的情況下：

• 使用此工具，您可以分析大多數(shù)現(xiàn)代和舊的流行編程語言，例如C，C ，Java，PHP，COBOL等。只需指定用于正確識別和分析代碼的語言即可。
• 您可以運行多個掃描操作，具體取決于項目的類型和復雜性。在可能的操作中，它可以幫助您觸發(fā)代碼的完整掃描過程，并且在此過程中，chard會立即彈出一個新窗口，其中顯示每個組件以進行更好的分析。
• 為整個代碼庫提供一個漂亮的餅圖，其中顯示了代碼，空格，注釋和錯誤代碼的相對比例。
• 顯示了一個列表，以查看每個項目以及可能的錯誤，安全缺陷注釋數(shù)，整個項目的百分比以及潛在的不安全標志和代碼位。
• 執(zhí)行許多復雜的檢查，并允許您使用每種語言的配置文件添加要搜索的所有不良功能。
• 嘗試在注釋中找到可以指示代碼損壞的一系列短語。
• 智能搜索以查找緩沖區(qū)溢出以及有符號或無符號比較。

2.RIPS

RIPS（增強編程安全性）是針對PHP，Java和Node.Js的語言特定的靜態(tài)代碼分析工具。它可以自動檢測PHP和Java應用程序中的安全漏洞，是應用程序開發(fā)的理想選擇。該工具支持所有主要的PHP和Java框架。它可以部署為自托管軟件或用作云服務(wù)。具有SDLC集成和相關(guān)行業(yè)標準。除了RIPS之外，沒有其他工具可以檢測到最深層嵌套在代碼內(nèi)部的最復雜的安全錯誤，并且準確性極高，因此它是分析代碼的理想選擇。

• 使用本地安裝進行本地代碼掃描以保護代碼隱私。還提供具有安全且高度可擴展的基于云的平臺（SaaS）的在線掃描，而無需本地安裝或維護開銷。
• 無縫的全自動安全測試和代碼漏洞報告。因此，在與構(gòu)建工具集成之后，IDE和問題跟蹤器以及任何其他自定義工具都可以帶來自動化功能。
• 它跟蹤您在整個開發(fā)生命周期中的應用程序進度，并立即發(fā)現(xiàn)代碼中的風險和漏洞，以便您可以盡快解決問題，
• 此工具因其速度而非常受歡迎。在不到20分鐘的時間內(nèi)掃描了22億行的巨大代碼。
• 在RISP分析引擎的幫助下，可以獨立掃描多種編程語言，同時考慮語言的詳細信息以進行最準確的分析。
• 通過一種非常獨特的方法，該工具可以檢測到一些其他掃描儀可能遺漏的安全漏洞。

3. Brakeman

它是一個免費的開放源代碼漏洞掃描程序，專門為Ruby on Rails應用程序設(shè)計。它是一個靜態(tài)代碼分析器，可在開發(fā)過程中的任何階段掃描Rails應用程序代碼以發(fā)現(xiàn)安全問題。與許多其他Web安全掃描程序不同，此工具可以查看應用程序的源代碼，因此無需設(shè)置整個應用程序堆棧即可使用它。掃描應用程序代碼后，它將針對所有安全問題生成詳細的報告。

• 無需任何必要的配置即可運行此工具。安裝后，無需進行任何先期設(shè)置或配置。
• 在開發(fā)過程的任何階段隨時運行。只需使用新的rails生成一個新應用程序并立即檢查，
• 提供對應用程序的更完整介紹。該分析儀可以在安全漏洞被利用之前識別出它們。
• 提供靈活的測試，每次執(zhí)行的檢查都是獨立的，因此Barkman可以靈活地進行測試，
• 它比“黑匣子”網(wǎng)站掃描儀要快得多，甚至大型應用程序也可以在幾分鐘內(nèi)被掃描。

4. Flawfinder

它是一個免費的簡單程序，可以掃描C或C 源代碼，從而快速識別可能的安全漏洞并生成按風險級別排序的報告。它作為開源軟件提供，對于在程序廣泛發(fā)布之前快速發(fā)現(xiàn)并消除潛在的安全問題非常有用。它非常易于使用，并且經(jīng)過專門設(shè)計，易于與python的pip一起安裝，并附帶一個簡單的用戶指南。它與Common Weakness Enumeration（CWE）兼容，并獲得了CII最佳實踐通過徽章。對于初學者來說非常有用，它對靜態(tài)源代碼分析工具進行了簡單介紹。它設(shè)計為在Unix，Cygwin，基于Linux的系統(tǒng)和macOS上用作命令行工具，并且僅需要Python 2.7或Python 3。

• 容易安裝，也容易使用。它是入門代碼分析的理想工具。
• 它是具有OSI批準的許可證的免費開源軟件，
• 即使您無法構(gòu)建軟件也能正常工作
• 它非?？欤梢栽谙鄬^短的時間內(nèi)檢查較大的程序
• 它具有更高的命中密度（每千行源代碼中的命中數(shù)）。

5.Bandit

這是一個免費工具，專門用于查找Python代碼中的常見安全問題。它使用適當?shù)牟寮幚砻總€文件，并在python代碼中生成有關(guān)可能的安全性錯誤的詳細報告。它是帶有Apache License 2.0的開源軟件。可以在開發(fā)過程中或之后使用此工具，以在將代碼投入生產(chǎn)之前查找Python代碼中的常見安全問題，或使用此工具來分析現(xiàn)有項目并查找可能的缺陷。

• 命令行界面可掃描您的python代碼。
• 支持CSV，HTML或JSON文件。
• 允許指定基準報告的路徑，以忽略您認為不是問題的已知漏洞。
• 使用預提交進行版本控制集成。
• 允許用戶編寫和注冊檢查和格式化程序的擴展名。