静态Java代码分析工具

在众多的Java开发工具中有一种是静态代码分析工具，下面就让我们来看看流行的静态代码分析工具有哪些：

1.DeepSource

DeepSource可帮助您在代码审查期间自动查找和修复代码中的问题。它可以与 Bitbucket、GitHub 或 GitLab 帐户集成。此工具会查找反模式、错误风险、性能问题并引发问题。DeepSource 还生成并跟踪依赖项计数、文档覆盖率等指标。分析器在文件级别(例如在特定位置发现的反模式)、进一步的存储库级别问题(例如发现的四个依赖项似乎并不安装)。DeepSource Autofix 建议修复检测到的问题，并使用建议的更改创建拉取请求。

主要特点

单文件配置

拉取请求的质量检查

广泛的问题覆盖范围

积极维护的分析仪

详细了解每个问题

跟踪代码指标

自定义您的分析以忽略有意的问题

分析人员可以针对常见问题提出修复建议，如果您允许，他们可以使用修复创建拉取请求

在每次提交和拉取请求时运行 Black、YAPF、Go fmt 等代码格式化程序。不需要 CI 设置。

缺点

不支持 PHP 语言

语言支持

Python、JavaScript、Go、Ruby、Java、Docker、TestIdentify 并修复错误风险、反模式、性能问题和安全缺陷，包括每次提交和拉取请求覆盖范围、SQL、Terraform、Shell。

定价：

免费供开源、学生和非营利组织使用。付费计划从 12 美元用户/月开始。

2.SonarQube

SonarQube是流行的静态分析工具，用于持续检查代码库的代码质量和安全性，并在代码审查期间指导开发团队。SonarQube 用于通过 CI/CD 集成进行自动代码审查。它还提供质量管理工具来帮助您积极地解决问题：IDE 集成、Jenkins 集成、流行的持续集成服务器和代码审查工具。

主要特点

多语言

证券分析

发布质量代码

可维护性

它可以识别棘手的问题

缺点

并非每个 IDE 都支持 SonarQube

没有选择忽略有意或团队决定不修复它们的问题

语言支持

25 多种编程语言，包括 Java、C#、JavaScript、TypeScript、C/C++、COBOL 等。

价钱：

社区版是免费和开源的。商业版的许可证起价为 120 欧元。

3.Codacy

Codacy是一种静态分析工具，允许开发人员解决技术债务并提高代码质量。Codacy 在每次提交和 PR 中监控代码质量。您可以实施代码质量标准、实施安全实践并节省代码审查时间。

主要特点

代码审查自动化

代码质量分析

安全码分析

集群安装/多实例

缺点

缺乏其他 SaaS 服务的集成(Sonatype、Blackduck、来自 AWS API 网关的 API QOS 指标或 UI/E2E 测试 Saas 服务)

无法加密项目信息或限制对 UI 中源代码的访问

相对较小的社区

语言支持

30 多种语言，包括 Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript 等。

价钱：

免费的开源计划。高级计划从 15 美元用户/月开始。

4.DeepScan

DeepScan是一种领先的静态分析工具，旨在支持 JavaScript、TypeScript、React 和 Vue.js。您将能够使用 DeepScan 寻找可行的运行时错误和质量问题，而不是编码约定。将 DeepScan 与您的 GitHub 存储库集成，以深入了解您的项目。

主要特点

错误跟踪

构建自动化

代码审查

合作

持续集成

缺点

有限的语言支持

语言支持

JavaScript、TypeScript、React 和 Vue.js。

价钱：

开源项目免费。商业计划从 9 美元席位/月起。

5.Embold

Embold是一种通用静态分析器，可帮助开发人员在关键代码问题成为障碍之前查找它们。它是有效调查、诊断、转换和维护应用程序软件的正确工具。AI 和机器学习技术的集成，Embold 将立即查看分级问题，提供最佳解决方案的建议，并在必要时重构应用软件。在您当前的 Dev-Ops 堆栈中、本地或私有或公共云中运行它。

主要特点

视觉和直观的用户界面

更深入、更快速的检查

智能提升性能

无缝集成

缺点

价格相对过高

语言支持

Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL

价钱：

免费开源。保费计划起价为每月 10 欧元。

6.Veracode

Veracode是流行的静态代码分析工具之一，仅针对安全问题。该工具跨管道进行代码检查以查找安全漏洞，并将 IDE 扫描、管道扫描和策略扫描作为其服务的一部分。作为程序的一部分，它创建了对审计代码的评估。

主要特点

编码时的安全反馈

管道中的快速结果

让审核员满意

高精度无需调谐

专注于修复

缺点

没有任何用于自定义扫描规则

用户体验不太好

语言支持

Java、.NET、JavaScript、Scala、Python、PHP、Ruby on Rails、ColdFusion、Swift、C/C++、COBOL、Visual Basic 6、RPG 等等。

价钱：

项目的许可证根据项目的大小定价。您可以通过在网站上提交表格来请求报价。

7.Reshift

Reshift是一个基于 SaaS 的软件平台，可无缝集成到软件开发工作流程中，因此组织可以持续部署安全的软件交付，而不会减慢其管道。Reshift 减少了查找和修复漏洞、识别数据泄露的潜在风险以及帮助软件公司实现合规性和监管要求的成本和时间。

主要特点

快速设置

安全扫描

安全责备

缺点

不支持 Java 以外的语言

语言支持

Java

价钱：

免费开源。