来自 技术 2019-03-16 00:00 的文章

代码审计工具

开发十年,就只剩下这套架构体系了!>>>

使用checkmarx分别对java、php、android程序源代码进行安全扫描,结合日常工作中使用的商业安全工具,比对结果如下:

在互联网企业中,有使用find bugs。

也有些企业使用Sonar.

Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时Sonar还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用Sonar。此外,Sonar的插件还可以对Java以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。

不同企业根据自己系统/平台的框架来选型。