8款代码分析工具对比测试，快来看哪款适合你 – 作者:代码安全小王子

最近，我调研了很多产品的功能及 POC，下面分享一些调研心得，希望对大家有所帮助。

01. 百度搜索

百度搜索“代码分析工具”，虽然发现不少相关工具，但其数据准确性还有待商榷，且具体功能也需进一步 POC。

02. 开源工具

我们研究过findbugs[1]的sec版、sonar[2]和cobra[3]等开源工具。它们虽然使用起来方便高效，但达不到项目要求的安全标准。不过测出的严重问题并不多。

03. 商用产品POC范围确认

根据Gartner和国内权威第三方调研机构的调研，我们选出了若干获得普遍认可的工具，如国外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7]，国内的代码卫士[8]、Wukong[9]、鸿渐SAST[10]和酷德啄木鸟[11]。

根据项目需求，我们亦针对上述产品做了 POC，汇总如下：

表1:国外产品对比（含鸿渐SAST）

注：国外工具1-4为Fortify、checkmarx、Klocwork和Coverity中的某一款，排序无对应关系。

表2：国内产品对比

注：国内工具1-3为代码卫士、Wukong和酷德啄木鸟中的某一款，排序无对应关系。

大家若想选出合适的工具产品，首先要根据项目需求确定供应商范围，然后再根据 POC 测试数据进行最终工具确定。以下是通过这次调研，我们总结的一个确定供应商的方法，供大家参考：

通过此次调研，我们发现越来越多优秀的国产工具开始崭露头角，尤其是鸿渐科技的代码扫描工具 SAST，通过 POC 结果看，完全能支撑项目的大部分需求。相信随着它不断发展，还会越来越好。

贸易战以来，美国对我国的打压已扩大到科技领域。国产替代的趋势亦逐渐盛大。“青山遮不住，毕竟东流去。”，相信中国必将突破外部封锁，驶入浩瀚大洋扬帆远航。国内代码分析企业也将迎来自己的高光时刻。

以上就是这次调研的分享，大家有什么想法欢迎后台发消息一起讨论~

参考资料：

[1].http://findbugs.sourceforge.net/

[2].https://www.sonarqube.org/

[3].http://cobra.feei.cn/

[4].https://www.joinfortify.com/

[5].https://www.checkmarx.com/

[6].https://www.perforce.com/products/klocwork

[7].https://scan.coverity.com/

[8].https://www.qianxin.com/

[9].https://www.woocoom.com/

[10].http://www.redrocket.cn/

[11].http://www.codepecker.com.cn/

来源：freebuf.com 2021-07-05 10:44:24 by: 代码安全小王子

相关推荐: REvil团伙在Kaseya供应链攻击中索要7000万美元 至少影响1,000家公司 – 作者:中科天齐软件安全中心

软件制造商 Kaseya Limited敦促其 VSA 端点管理和网络监控工具的用户立即关闭 VSA服务器，以防止在广泛的勒索软件攻击中受到损害。REvil勒索软件运营商最初破坏了Kaseya VSA的基础设施，然后推出了VSA内部部署服务器的恶意更新，以在企…