静态分析测试工具doc.docx
- 文档编号:12894285
- 上传时间:2023-06-09
- 格式:DOCX
- 页数:40
- 大小:70.61KB
静态分析测试工具doc.docx
《静态分析测试工具doc.docx》由会员分享,可在线阅读,更多相关《静态分析测试工具doc.docx(40页珍藏版)》请在冰点文库上搜索。
静态分析测试工具doc
静态代码分析、测试工具汇总
静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):
“静态测试包括代码检查、静态结构分析、代码质量度量等。
它可以由人工进行,充分发挥人的逻辑思维优势,
也可以借助软件工具自动进行。
代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背程序编程风格的问题,包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。
”。
我看了一系列的静态代码扫描或者叫静态代码分析工具后,总结对工具的看法:
静态代码扫描工具,和编译器的某些功能其实是很相似的,他们也需要词法分析,语法分析,语意分析...但和编译器不一样的是他们可以自定义各种各样的复杂的规则去对代码进行分析。
以下将会列出的静态代码扫描工具,会由于实现方法,算法,分析的层次不同,功能上会
差异很大。
有的可以做SQL注入的检查,有的则不能(当然,由于时间问题还没有对规则进行研究,但要检查复杂的代码安全漏洞,是需要更高深分析算法的,所以有的东西应该不
是设置规则库就可以检查到的,但在安全方面的检查,一定程度上也是可以通过设置规则进行检查的)。
主
工具名
静态扫描语言
开源/
厂商
介绍
页
付费
网
址
VB.Net、C、
ounec5.0
C++和C#,
付
OunceLabs
\
还支持
费
Java。
还有其他辅助工具:
1.CoverityThread
Coverity
C/C++,C#,JAV
AnalyzerforJava
付费
Coverity
2.CoveritySoftware
Prevent
A
ReadinessManager
forJava
3.Coverity
Architecture
Analyzer
@stakeSmartRisk?
Analyzerharnesses
thepowerof
staticanalysisof
binaryexecutables
@stake
Symantec
(C,C++,andJava)
SmartRisk?
C/C++,Java
付费
Corporatio
to
Analyzer
n
identify,
categorizeand
prioritize
security
。
注:
在Symantec没有
搜到此产品?
!
Providesmemory
Rational
leakandmemory
C/C++,Java
付费
IBM
corruption
Purify
detectionfor
Windows,Runtime?
!
微软用的静态分析工
具,但暂时没有找到
PREfix
\
\
microsoft
下载,
\
现在好像在考虑发布
中!
同时还有其他静态分
Jtext
Java
付费
parasoft
析代码的产品,
如:
C++Test...
详细请查询官网
用Python编写的c、
c++程序安全审核工
flawfinder
C/C++
开源
\
具,
可以检查潜在的安全
风险。
Static
C/C++,C#,JAV
Code
付费
Fortify
\
Analyzer
A
Klocwork
C/C++,Java
付费
Klocwork
\
Insight
PolySpace
C/C++、Ada
付费
MathWorks
\
Client/Serve
语言
r
C/C++,
Python,
rats
Perl,
开源
\
\
PHP代码进行
安全审核的工
具
LAPSEstandsfora
Lightweight
Analysisfor
Program
Securityin
Eclipse.LAPSEis
designedtohelp
with
thetaskof
auditingJavaJ2EE
LAPSE
Java
开源
\
applicationsfor
common
typesofsecurity
vulnerabilities
foundinWeb
applications.
LAPSEwasdeveloped
byBenjamin
Livshitsaspartof
the
GriffinSoftware
SecurityProject.
Wehaveexplored
properties
including:
*race
Fluid
java
开源
\
conditionsand
lockingpolicies,
*unique
referencesand
otherprogrammer-
significant
aliasing
properties,
*effects,
*
appropriatetyping,
*realtime
threadingpolicies,
and
*single-
threadingpolicies.
University
of
Virginia,
静态检测针对C语言
Splint
C
开源
Department
的安全工具和漏洞检
of
测。
Computer
Science
轻量级的静态扫描
cqual
C/C++
开源
马里兰大学
器,在类Linux系统
下运行。
MOPSisatoolfor
findingsecurity
bugsinC
MOPS
C
开源
berkeley
大programs
学
andforverifying
conformanceto
rulesofdefensive
programming
BOONisatoolfor
automatically
findingbuffer
overrun
vulnerabilitiesin
Csourcecode.
BOON
C
开源
berkeley
大Bufferoverrunsare
one
学
ofthemostcommon
typesofsecurity
holes,andwe
hope
thatBOONwill
enablesoftware
developersandcode
auditors
toimprovethe
qualityof
security-critical
programs.
BLASTisasoftware
modelcheckerforC
programs.
ThegoalofBLAST
istobeableto
checkthatsoftware
satisfies
behavioral
propertiesofthe
interfacesituses.
BLASTuses
TheBLAST
counterexample-
BLAST
C
开源
drivenautomatic
2.0Team
abstraction
refinementto
constructan
abstractmodel
whichismodel
checkedforsafety
properties.The
abstractionis
constructed
on-the-fly,and
onlytothe
requiredprecision.
SpikeWAMP
Php
开源
\
foranalyzingPHP
programs
FindingXSSand
Pixy
Php
开源
\
SQLI
vulnerabilities
Javasourcecode
securityscanner
Mike
Java
开源
\
builtontopof
Orizon.
Theyareconnected
toOWASP.
Smatch
C
开源
\
\
Oink
C++
开源
\
C++StaticAnalysis
Tools
Frama-C
C
开源
\
staticanalyzers
fortheClanguage.
RTL-checkisan
extensibleand
powerfulabstract
interpretation
RTL-check
\
开源
\
frameworkfor
staticanalysisof
programsfroma
safetyand
security
perspective
PMDscansJava
sourcecodeand
looksforpotential
problemslike:
*Possible
bugs-empty
try/catch/finally/
switchstatements
*Deadcode
-unusedlocal
variables,
parameters
PMD
Java
开源
\
andprivatemethods
*Suboptimal
code-wasteful
String/StringBuffer
usage
*
Overcomplicated
expressions-
unnecessaryif
statements,
forloopsthat
couldbewhile
loops
*Duplicate
code-
copied/pastedcode
meanscopied/pasted
bugs
usesstatic
analysistolook
FindBugs
Java
开源
马里兰大学
forbugsinJava
code.
注意:
提供Eclipse
插件。
Cigitaldeveloped
ITS4tohelp
ITS4
C\C++
开源
\
automatesource
code
reviewfor
security.
QJ-Proisa
comprehensive
softwareinspection
tooltargeted
towardsthe
softwaredeveloper.
QJ-Prochecks:
*
conformanceto
codingstandards,
QJ-Pro
Java
开源
\
*misuseof
theJavalanguage,
*best
practice
conformence
*code
structureand
*potential
bugsatthe
earlieststagesof
development.
注意:
提供各种IDE
插件!
Jint
Java
开源
\
Jlintwillcheck
yourJavacodeand
findbugs,
inconsistencies
andsynchronization
problemsbydoing
dataflowanalysis
and
buildingthelock
graph.
codereviewsystem
capturescoding
bestpracticesand
delivers
themtodevelopers'
fingertips.Italso
generates
Hammurapi
Java
开源
\
consolidated
reportsforlead
developers,
architects,and
managersto
monitorcodebase
qualityand
evolution.
Amongwhatit
detects:
*misspelled
words
*parameter
andexception
names:
DoctorJ
Java
开源
\
omissing
omisordered
omisspelled
*Javadoc
tags:
oinvalid
omisordered
omissingexpected
arguments
oinvalidarguments
omissing
descriptions
*
undocumented
classes,methods,
fields,
parameters
DependencyFinder
isasuiteoftools
foranalyzing
compiledJavacode.
Atthecoreisa
powerfuldependency
analysis
applicationthat
extractsdependency
graphsand
minesthemfor
usefulinformation.
Dependency
Thisapplication
Java
开源
\
comes
Finder
inmanyformsfor
youreaseofuse,
includingcommand-
line
tools,aSwing-
basedapplication,
awebapplication
ready
tobedeployedin
anapplication
server,andaset
ofAnt
tasks.
Checkstyleisa
Checkstyle
Java
开源
\
developmenttoolto
helpprogrammers
writeJavacode
thatadherestoa
codingstandard.
Itautomatesthe
processofchecking
Javacodetospare
humansofthis
boring(but
important)task.
Thismakes
itidealfor
projectsthatwant
toenforceacoding
standard.
注意:
提供多种IDE
的插件。
Classycle's
Analyseranalyses
thestaticclass
Classycle
Java
开源
\
andpackage
dependenciesin
Javaapplications
orlibraries.
JDependtraverses
Javaclasssand
generates
designquality
metricsforeach
Javapackage.
JDependallowsyou
toautomatically
JDepend
Java
开源
\
measurethequality
ofadesignin
termsofits
extensibility,
reusability,
andmaintainability
tomanagepackage
dependencies
effectively.
JCSC
Java
开源
\
JCSCisapowerful
tooltocheck
sourcecodeagainst
a
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 静态 分析 测试 工具 doc
![提示](https://static.bingdoc.com/images/bang_tan.gif)