- 综合排序
- 最热优先
- 最新优先
- 来自专栏持续集成
Polaris - 静态代码分析
Polaris - 托管静态应用程序软件测试(SAST)工具的 SaaS 平台,它是用于分类和修复漏洞并运行报告的 Web 站点。 SAST - 一种对源代码分析或构建过程中去寻找安全漏洞的工具,是一种在软件开发的生命周期(SDLC)中确保安全的重要步骤。 Coverity - Coverity 是 Synopsys 公司提供的原始静态应用软件测试 (SAST) 工具。Polaris 是 Coverity 的 SaaS 版本。 如果你正在扫描 C/C++ 代码,则应包括此分析部分以充分利用 Polaris 的扫描功能: analyze: mode: central coverity: cov-analyze: Polaris 分析结果 如果 Polaris 分析成功,将会在控制台看到一条成功信息如下: [INFO] [1zb99xsu] Coverity job completed successfully!
2K30发布于 2021-11-12 - 来自专栏Bypass
静态代码分析工具清单
SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。 本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。 ---- 1、RIPS 一款不错的静态源代码分析工具,主要用来挖掘PHP程序的漏洞。 项目地址: http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级源代码静态分析工具,支持Java、PHP、C#、Python、Go等27种编程语言, 它静态分析 Rails 应用程序代码,以在开发的任何阶段查找安全问题。 项目地址: https://brakemanscanner.org
3.8K10发布于 2021-06-25 - 来自专栏ROS2
C++静态代码分析
这里记录一下使用cppcheck进行C++代码静态检测的方法和步骤。 cpp文件,用于测试静态代码分析工具。 docker run -t -v $(pwd):/src neszt/cppcheck-docker 在vscode中进行静态代码检测 在安装了ROS2后,可使用下面的命令安装ament linters 其中的ament_cppcheck即可用于C++静态代码检测。 图片 可直接运行ament_cppcheck命令。效果与之前的cppcheck类似。 这样就可以直接在vscode中直接运行静态代码检测任务了。
1.5K00编辑于 2022-07-31 - 来自专栏简尚
QA如何做静态代码分析
此文,来源于iTesting公号,手把手教大家如何通过SonarQube做静态代码分析,有兴趣的,跟着文章,实操之 。 如果工作用不上,自己业余玩玩,玩会了,写在简历上,也是一个亮点 。 静态代码检查可以使得我们在代码提交的一刹那就发现项目中的潜在问题,今天我就来讲讲如何使用SonarQube做静态代码检查。 Why SonarQube? SonarQube可以从以下几个维度来分析代码质量: ? 我们可以根据SonarQube 扫描出来的结果,结合项目实际,建议开发修改. 如果你们的项目跟Jenkins集成,还可以添加SonarQube插件,这样每一个build生成后都会有相应的代码分析结果参考。 利用SonarQube进行静态代码分析, 真正做到了从源头解决问题,也使得我们测试人员对代码改动更有信心,怎么样?赶快用起来吧 。 End 此文来自iTesting ,已授权转载。
99920发布于 2019-10-16 - 来自专栏Android开发实战
IOS静态代码扫描--分析与总结
IOS静态代码扫描--分析与总结 为了进一步加强代码质量,规范并减少代码缺陷,静态代码扫描是上过环节中必不可少的一部分。大多数都希望通过不同的途径提前发现日常测试中难发现的问题。 然而iOS静态代码扫描工具有不少,它们都有什么不同?我应该选哪一个?因此,本文主要针对主流的几个工具,对同步助手的代码进行扫描,并分析对比它们的扫描结果,再敲定后续的接入计划。 它将基于布尔可满足性验证技术应用于源代码分析引擎,分析引擎利用其专利的软件DNA图谱技术和meta-compilation技术,综合分析源代码、编译构建系统和操作系统等可能使软件产生的缺陷。 源代码通过clang语法分析后,生成了语法分析树(AST)后,可作为静态分析工具对AST进行分析。 Infer命令行调用方法: 安装python 2.7:MAC自带; 安装infer:brew install infer 4、oclint Oclint是针对C、C++和Objective C代码的静态扫描分析工具
5.3K21发布于 2020-07-27 - 来自专栏岛哥的质量效能笔记
配置Android项目 - 静态代码分析工具
https://hackernoon.com/configuring-android-project-static-code-analysis-tools-b6dd83282921#.29l4un3xn 静态代码分析工具 静态代码分析工具 - 分析代码而不执行它。 有助于保持你的代码健康,并保持代码质量。 在Android上,最流行的代码分析工具是: Lint PMD Findbugs 我通常将静态代码分析脚本和相关文件保存在单独的文件夹中。 Findbugs 静态代码分析工具,用于分析Java字节码并检测各种各样的问题。 配置 要添加findbug到你的android项目需要创建script-findbugs.gradle文件。 ? PMD PMD是一个源代码分析器。它发现常见的编程缺陷,如未使用的变量,空catch块,不必要的对象创建等等。
97220发布于 2021-08-18 - 来自专栏开源技术小栈
PHP 代码质量·静态分析利器 Psalm
概述 代码质量直接影响项目的稳定性和可维护性。如何在开发过程中尽早发现潜在的类型错误、逻辑问题或安全漏洞? 答案是:Psalm——一款强大的PHP静态分析工具。 什么是Psalm? Psalm 是一款专为PHP设计的静态分析工具,旨在帮助开发者发现代码中的类型错误、逻辑问题和潜在的安全漏洞。它通过分析代码的抽象语法树(AST),在不运行代码的情况下,检测出潜在的bug。 污点分析:检测代码中的潜在安全漏洞,如SQL注入或跨站脚本攻击(XSS)。 语言服务器支持:与多种IDE兼容,提供实时代码诊断和跳转定义功能。 相比其他静态分析工具(如PHPStan),Psalm在以下方面具有独特优势: 更智能的逻辑分析:能够检测复杂的逻辑错误,如重复条件或矛盾断言。 支持SARIF标准:便于与其他静态分析工具集成,生成标准化的分析报告。 小结 Psalm是一款功能强大、易于上手的PHP静态分析工具,适合从小型项目到大型企业应用的各种场景。
28310编辑于 2025-10-20 - 来自专栏深度学习与python
7个顶级静态代码分析工具
作者丨Saif Sadiq 策划丨田晓旭 静态代码分析或源代码分析是指使用静态代码分析工具对软件的“静态”(不运行的) 代码进行分析的一种方法,找出代码中潜在的漏洞。 静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。 1为什么要进行静态代码分析? 在执行代码之前获取代码洞见; 与动态分析相比,执行速度更快; 可以对代码质量维护进行自动化; 在早期阶段 (尽管不是所有阶段) 可以自动检索 bug; 在早期阶段可以自动发现安全问题; 如果你在使用带有静态分析器的 在知道了什么是静态代码分析之后,接下来就有必要了解一下市场上有哪些好用的静态代码分析工具。废话不多说,让我们来看看现在比较流行的静态代码分析工具。 3SonarQube SonarQube 是一种很流行的静态分析工具,用于持续检查代码库的代码质量和安全性,并在代码评审期间指导开发团队。
4.5K50发布于 2021-01-07 - 来自专栏测试技术圈
QA如何做静态代码分析
静态代码检查可以使得我们在代码提交的一刹那就发现项目中的潜在问题,今天我就来讲讲如何使用SonarQube做静态代码检查。 Why SonarQube? 这样就说明 scanner配置成功了,我们来分析下我们的项目! SonarQube可以从以下几个维度来分析代码质量: ? 我们可以根据SonarQube 扫描出来的结果,结合项目实际,建议开发修改. 如果你们的项目跟jenkins集成,还可以添加SonarQube插件,这样每一个build生成后都会有相应的代码分析结果参考。 利用SonarQube进行静态代码分析, 真正做到了从源头解决问题,也使得我们测试人员对代码改动更有信心,怎么样? 赶快用起来吧!
80530发布于 2019-08-01 - 来自专栏写代码和思考
使用findbugs静态代码分析工具检查Android Java代码
1.背景 在 android 开发中,我们可以使用 findbugs 工具来检查我们的java代码。 介绍 FindBug是一款开源的Java代码检查工具,遵循GNU公共许可协议。 检查的bug类型包括: Bad practice 坏的实践:常见代码错误,序列化错误,用于静态代码检查时进行缺陷模式匹配; Correctness 可能导致错误的代码,如空指针引用等; 国际化相关问题: 如错误的字符串转换; 可能受到的恶意攻击,如访问权限修饰符的定义等; 多线程的正确性:如多线程编程时常见的同步,线程调度问题; 运行时性能问题:如由变量定义,方法调用导致的代码低效问题。
2.6K00发布于 2020-03-16 - 来自专栏测试邦
SonarQube&Gitlab-CI 实现静态代码分析
Sonar 为代码的质量管理提供了一个平台,对传统的代码静态检测如 PMD、FindBugs 等工具进行整合,可以说是目前最强大的代码质量管理工具之一。 也就是当有develop pull了代码到repo,gitlab会通知gitlab-ci,gitlab-ci又会通知到相对应的Runner,这时候Runner会去执行相对应的script。
2.7K30发布于 2019-08-29 - 来自专栏人工智能头条
Infer:Facebook开源代码静态分析工具
该工具用 OCaml 开发,主要用来对Java、Objective-C和C语言进行代码静态分析。 36Kr也做这个项目写了篇报道,这里摘录几句: Infer的联合开发者Peter O’Hearn称,Infer可以将大型代码分而治之,切割成小段代码,然后再将分析结果整合起来。 这属于符号化人工智能(有别于更接近人思维模式的神经网络AI)的一种,据称其代码修复率可达80%。
1.4K40发布于 2018-06-05 - 来自专栏Bypass
企业级静态代码分析工具清单
本文整理的是一份商业静态源代码分析工具的清单,收集国内外主流的SAST工具,以了解产品的方向和动态。 ---- 1、Fortify Static Code Analyzer 一款功能全面的源代码安全扫描工具,自动静态代码分析可帮助开发人员消除漏洞,并构建安全的软件。 7、奇安信代码卫士 一款静态应用程序安全测试系统,该系统提供了一套企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪的解决方案。 官网地址: https://www.qianxin.com/product/detail/pid/14 8、DMSCA 企业级静态源代码扫描分析服务平台(英文简称:DMSCA)是一个独特的源代码安全漏洞 官网地址: http://www.dumasecurity.com/goods.html 9、Wukong(悟空) 一款静态代码分析工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞
2.4K30发布于 2021-06-25 - 来自专栏开源技术小栈
PHPStan :PHP静态代码质量分析工具
PHPStan 是一款针对 PHP 语言的代码静态分析工具,它无需实际运行代码就可以发现其中的语法错误。如果你想我想改变这一点。那就请使用 PHPStan PHPStan 是什么? PHPStan 是一种用于 PHP 代码的静态分析工具。它是用 PHP 编写的,并于 2017 年首次发布。 PHPStan 特点 静态分析: PHPStan 是一款静态分析工具,这意味着它在运行 PHP 代码之前就会对其进行分析。这使得它能够检测到编译时错误,而无需实际运行代码。 PHPStan 是一款非常流行的 PHP 代码分析工具,它已被许多公司和项目使用,包括 Facebook、Google、Netflix 和 WordPress 等。 运行 为了让 PHPStan 分析你的代码库,你必须使用 analyse 命令并将其指向正确的目录。
1.7K10编辑于 2024-01-02 - 来自专栏软件测试学习
Facebook开源静态代码分析工具Infer介绍
Facebook开源的静态代码分析工具Infer使用指南 01 什么是Infer? Infer是Facebook公司的一个开源的静态分析工具。 Infer 可以分析 Objective-C, Java 或者 C 代码,用于发现潜在的问题。其作用类似于sonar和fortify。 03 如何使用Infer进行maven工程的代码扫描? 遗留一些问题感兴趣的朋友可以继续扩展学习: 1、mac电脑上如何搭建环境 2、除了扫描maven工程的java代码外,gradle编译的工程以及ios代码如何扫描 3、可以跟其他的代码扫描工具进行一下对比 4、如何去采集jenkins上配置的扫描job的数据,分析项目各版本用工具扫描出来的代码问题的一个趋势和遗留问题 ,再了解一下这个工具是否会有误报的情况,如果存在误报,是否可以设置过滤?
3.8K10发布于 2021-03-06 - 来自专栏FreeBuf
Wpbullet:针对WordPress的静态代码分析工具
今天给大家介绍的是一款名叫Wpbullet的工具,广大安全研究人员可以使用这款工具来对WordPress、插件、主题以及其他PHP项目进行静态代码分析。 ? 工具安装 大家可以直接从Wpbullet的GitHub代码库中将项目克隆至本地,然后安装工具的依赖组件,并运行工具脚本: $ git clone https://github.com/webarx-security disabled=”SQLInjection,CrossSiteScripting” —cleanup(可选项) 在对远程下载的插件进行完扫描操作之后,自动删除本地.temp目录的内容 —report(可选项) 将分析结果以
83230发布于 2019-07-09 - 来自专栏iOS面试
如何通过静态分析提高iOS代码质量
[1240] 随着项目的扩大,依靠人工codereview来保证项目的质量,越来越不现实,这时就有必要借助于一种自动化的代码审查工具:**程序静态分析**。 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术 Swift语言对应的静态分析工具是SwiftLint,OC语言对应的静态分析工具有Infer和OCLitn。以下会是对各个静态分析工具的安装和使用做一个介绍。 SwiftLint [1240] 对于Swift项目的静态分析可以使用SwiftLint。SwiftLint 是一个用于强制检查 Swift 代码风格和规定的一个工具。 3、通过CMD + B我们编译一下项目,执行脚本任务,会得到能够定位到代码的warning信息: [1240] 总结 以下是对这几种静态分析方案的对比,我们可以根据需求选择适合自己的静态分析方案。
2.7K30发布于 2020-05-26 Detekt静态代码分析工具使用指南
Detekt 是一款专为 Kotlin 设计的静态代码分析工具,能帮助开发者发现代码中的潜在问题,如风格违规、复杂度过高和潜在错误。以下通过具体代码示例展示其常见用法及优化建议。1. /gradlew detektCheck 运行分析。2. 常见问题与代码示例示例 1:魔法数字(MagicNumber)问题代码:fun calculateArea(radius: Int): Double { return 3.14 * radius 超过 20 行代码 ...}Detekt 提示:LongMethod - 函数过长(超过配置阈值)。 总结通过 Detekt 可以:提升可读性:强制代码风格统一。降低复杂度:拆分长函数、减少嵌套。避免常见陷阱:如魔法数字、异常滥用。团队协作:通过统一配置确保代码一致性。
37100编辑于 2025-05-13- 来自专栏测试技术圈
静态代码检查完成代码分析和SonarQuber的初探
静态代码检查就是静态测试的一种,因此我们先说说静态测试和动态测试都是什么,然后我们再来聊一聊静态代码检查。 先搞清动静的区别 静态测试是指不运行被测程序本身,通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性。 静态测试被测对象是各种与软件相关的有必要进行测试的产物,是对需求规格说明书、软件设计说明书、源程序做结构分析、流程图分析、符号执行来找错。 静态测试主要包括各阶段的评审、代码检查、程序分析、软件质量度量等,用于对被测程序进行特性分析。 从上面我们可以了解到代码检查是静态测试中的关键一步,那么代码检查到底是个什么工作内容吗?
2.1K21发布于 2020-07-01 - 来自专栏全栈程序员必看
html静态页面代码_静态网页设计代码
这个例子我们做一个游戏静态页面,自动跳转到我们想要玩的游戏或者视频等网站 大家也可以根绝我的代码,适当修改一些信息,但是套用我的这个模板请注释下来自我这,我也是初学者,辛辛苦苦写了几个小时,尊重下劳动成果 ok,上代码,我觉得比较简单,就没注释,希望能看懂: <! #ececec") }) </script> <canvas id='canvas' width="600" height="600"></canvas> </body> </html> 大家直接复制代码是实现不了效果的
5K20编辑于 2022-11-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号