首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

针对Java的静态分析工具推荐?

针对Java的静态分析工具推荐,以下是一些常用且功能强大的静态分析工具:

  1. SonarQube: SonarQube是一个开源的自动化代码分析工具,支持多种编程语言,包括Java。它可以帮助您检测和报告编码规范、安全隐患、重复代码等问题。SonarQube与GitHub、GitLab和Bitbucket等代码托管平台集成,可帮助您持续监控项目质量。
  2. FindBugs: FindBugs是一个静态分析工具,它利用字节码对比技术,找出Java代码中的缺陷。它可以帮助您快速定位并修复代码中的错误和安全漏洞,提高代码质量。
  3. PMD: PMD是一个静态代码分析工具,它可以帮助您识别Java代码中的重复代码、空指针引用、不安全的代码等问题。PMD支持多种语言,包括Java、C++等。
  4. SpotBugs: SpotBugs是Java版的FindBugs,它支持Java、Groovy、Kotlin和Scala等语言。SpotBugs利用了Groovy的扩展语法,可以帮助您识别不易识别的代码缺陷。
  5. PMD - Java: PMD提供了基于正则表达式和模式匹配的静态代码分析,可以检查出许多潜在的代码质量问题。

以上列出的是一些常用的静态分析工具,它们可以帮助您改善Java代码的质量,减少安全隐患,提高代码的可读性和可维护性。您可以尝试使用这些工具,并选择适合您项目的工具。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

Wpbullet:针对WordPress静态代码分析工具

今天给大家介绍是一款名叫Wpbullet工具,广大安全研究人员可以使用这款工具来对WordPress、插件、主题以及其他PHP项目进行静态代码分析。 ?...工具安装 大家可以直接从WpbulletGitHub代码库中将项目克隆至本地,然后安装工具依赖组件,并运行工具脚本: $ git clone https://github.com/webarx-security.../wpbullet wpbullet $ cd wpbullet $ pip install -r requirements.txt $ python wpbullet.py 工具使用 下面给出是所有可用操作选项...,CrossSiteScripting” —cleanup(可选项) 在对远程下载插件进行完扫描操作之后,自动删除本地.temp目录内容 —report(可选项) 将分析结果以JSON格式数据存储至...,它允许我们重写每一个模块BaseClass方法并实现我们自己方法。

64330

Mariana Trench:针对Android和Java应用程序静态代码分析工具

关于Mariana Trench Mariana Trench是一款功能强大静态代码分析平台,在该工具帮助下,广大研究人员可以轻松针对Android和Java应用程序进行静态代码分析。...工具安装 在虚拟环境中安装Mariana Trench非常简单,只需要运行下列命令即可: (mariana-trench)$ pip install mariana-trench 工具运行 我们将使用一个简单...github.com/facebook/mariana-trench (mariana-trench)$ cd mariana-trench/documentation/sample-app 接下来,我们就可以执行静态代码分析了...使用Mariana Trench对测试App执行完分析后,会发现四个安全问题,分析输出结果将包含针对应用程序中每一个方法相关信息。...进一步处理 分析输出结果其实并非人类可读,因此我们还需要对这些信息进行进一步处理,这里将使用到SAPP: (mariana-trench)$ sapp --tool=mariana-trench

77130
  • Truegaze:一款针对AndroidiOS应用源码静态分析工具

    Truegaze Truegaze是一款专门针对Android和iOS应用程序静态分析工具,该工具主要针对是应用程序源代码之外资源安全问题,例如字符串、第三方库和配置文件等等。...广大研究人员可以利用Truegaze来对目标移动端应用程序进行安全检测与分析。...工具要求 该工具正常运行需要Python 3环境,我们可以直接在requirements.txt文件中找到所有的依赖模块。...显示已安装工具版本: user@localhost:~/$ truegaze version Current version: v0.2 工具架构 Truegaze是一款命令行工具,该工具由多个能够检测安全漏洞功能模块组成...,其中每一个模块都可以执行单独扫描任务,所有的扫描结果都可以直接打印输出在命令行工具中。

    46940

    Infer:Facebook Java静态分析工具初探

    在使用之前,第一步当然是了解该工具是什么,能做什么。Infer是Facebook最近开源一个静态分析工具。是为iOS和Android设计,它用于在app发布之前,发现其中bug。...该问题答案归结为你对静态分析工具态度。Infer明显既不是第一个Java静态分析工具(例如,FindBugs是其中比较流行一个),也不是第一个开源这类工具。...Infer还面临一些Java语言自身限制。它不能处理Java并发工具(Concurrency Utilities)或特性,比如计算。这些问题同样困扰着在其它静态分析工具,但是这点确实需要谨记。...工作流中应用 静态分析工具通常在开发阶段使用。它们本质是一个测试工具,是作为开发过程或CI/CD工作流中一个步骤。它们不能代替调试器,因为它们工作时候代码已经编译完成。...结论 当一个像Facebook一样公司开源一个使用很好Java工具时,是值得我们去看一下。Infer不是特意为Java设计,但是它能对Java app做静态代码分析

    91620

    Checkov:一款针对基础设施即代码(IaC)静态代码安全分析工具

    关于Checkov Checkov是一款针对基础设施即代码(IaC)静态代码安全分析工具,在该工具帮助下,广大研究人员可以在在Terraform、CloudFormation、Kubernetes...功能介绍 1、内置了超过1000种针对AWS、Azure和Google Cloud安全和合规性最佳实践策略。...6、使用正则表达式、关键字和基于熵检测来识别敏感数据。 7、评估Terraform提供商设置,以规范那些通过Terraform管理IaaS、PaaS或SaaS创建、管理和更新行为。...工具要求 1、Python >= 3.7 2、Terraform >= 0.12 工具安装 pip3 install checkov Alpine安装 pip3 install --upgrade...工具配置 工具配置文件config.yaml样例如下: branch: develop check: - CKV_DOCKER_1 compact: true directory:

    2.3K30

    使用findbugs静态代码分析工具检查Android Java代码

    1.背景 在 android 开发中,我们可以使用 findbugs 工具来检查我们java代码。 介绍 FindBug是一款开源Java代码检查工具,遵循GNU公共许可协议。...它可以检查Java类或者JAR文件,运行Java字节码而不是源码,检查原理是:将字节码与一组缺陷模式进行对比来发现可能存在问题,这些问题包括空指针引用、无限递归循环、死锁等。...检查bug类型包括: Bad practice 坏实践:常见代码错误,序列化错误,用于静态代码检查时进行缺陷模式匹配; Correctness 可能导致错误代码,如空指针引用等; 国际化相关问题:...如错误字符串转换; 可能受到恶意攻击,如访问权限修饰符定义等; 多线程正确性:如多线程编程时常见同步,线程调度问题; 运行时性能问题:如由变量定义,方法调用导致代码低效问题。...= files("${project.rootDir}/app/build/intermediates/javac") source 'src' include '**/*.java

    2.2K00

    静态代码分析工具清单

    SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中安全缺陷。...本文是一个静态源代码分析工具清单,收集了一些免费开源项目,可从检测效率、支持编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。...---- 1、RIPS 一款不错静态源代码分析工具,主要用来挖掘PHP程序漏洞。...项目地址: http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级源代码静态分析工具,支持Java、PHP、C#、Python、Go等27种编程语言,...项目地址: https://sourceforge.net/projects/visualcodegrepp/ 6、FindBugs 一款静态分析工具,检查程序潜在bug,在bug报告中快速定位到问题代码上

    3.1K10

    静态日志分析工具webalizer

    http://www.webalizer.org/操作流程:创建首页文件{防止访问到测试页面}echo "hello world. " >> /var/www/html/index.html创建一个用来存放分析结果目录...修改lang/webalizer_lang.simplified_chinese编码类型#借助windows下NotePad++工具进行修改{修改为utf-8类型,再重新上传到服务器lang目录下...利用模板生成配置文件cd /usr/local/webalizer/etccp -a webalizer.conf.sample webalizer.conf修改配置文件{让webalizer找到需要分析日志...,并将分析结果存放到指定目录下}vim /usr/local/webalizer/etc/webalizer.confLogFile /var/log/httpd/access_log #分析日志(...哪个文件)OutputDir /var/www/html/webalizer #分析结果保存在哪里执行此命令进行分析:/usr/local/webalizer/bin/webalizer -c /usr

    1K20

    Slither:第一款针对Solidity静态分析框架

    Slither是第一个开源针对Solidity语言静态分析框架。Slither速度非常快,准确性也非常高,它能够在不需要用户交互情况下,在几秒钟之内找到真正漏洞。...该工具高度可配置,并且提供了多种API来帮助研究人员审计和分析Solidity代码。 ? 目前,我们开源了Slither核心分析引擎,这个核心提供了很多高级静态分析功能。...除此之外,我们还构建了很多检测工具。 如果你是一名智能合约开发者,一名安全专家,或者是一名学术研究人员,你肯定能发现Slither价值。...可自主集成其他功能 Slither拥有简单命令行接口,如果你想对一份Solidity文件运行所有的检测工具,你只需要运行: $slither contract.sol ?...工具安装 Slither要求Python 3.6+、solc和Solidity编译器。

    1.3K50

    Tarnish:一款针对Chrome扩展静态安全分析平台

    今天给大家介绍是一个名叫Tarnish工具,Tarnish是一个Chrome扩展静态分析工具,可帮助研究人员对Chrome扩展安全情况进行审计。 ?...工具下载 如果你不想使用线上版本,你想在本地自行配置Tarnish的话,可以直接使用git命令将项目源码从GitHub库克隆至本地: https://github.com/mandatoryprogrammer...指纹分析:检测web_accessible_resources,自动化生成Chrome扩展指纹(JavaScript)。...潜在点击劫持分析:检测设置了web_accessible_resources指令扩展html页面。根据页面的用途,判断页面是否容易受到点击劫持攻击。...内容安全策略(CSP)分析器和绕过检查器:它们可以检测出扩展中CSP弱点,并提供绕过CSP和CDN白名单任何潜在方法。

    57610

    针对Java JIT优化(转表工具:xresloader)

    之前做了一个转Excel表到lua/二进制/json/xml工具-xresloader。目的一方面是方便策划。另一方面是统一客户端和服务器转表模式,并且要灵活适应环境变化。...在做了简单地分析以后发现,在转换一个表格时候,java载入jar包之后花了超过三分之二CPU用于编译和编译优化java字节码。不到三分之一CPU时间用于转表。...但是这个特性放到命令行工具上就比较伤了,因为命令行工具一般都是执行次数频繁但是执行时间很短,如果像这样每次运行去编译反而会浪费总体资源和时间。...而我尝试关掉javaJIT时,实际时间会更长,所以就有必要针对Java这个特性做一些特别的优化。 仍然是为了容易和其他工具集成,所以我这里设计成了可以通过stdin来获取多次转表信息。...(我机器是4核8线程CPU,型号是至强 E3-1230 V2) 所以我把批量转表工具默认最大并发度都限制到了2。

    52920

    7个顶级静态代码分析工具

    作者丨Saif Sadiq 策划丨田晓旭 静态代码分析或源代码分析是指使用静态代码分析工具对软件静态”(不运行) 代码进行分析一种方法,找出代码中潜在漏洞。...在知道了什么是静态代码分析之后,接下来就有必要了解一下市场上有哪些好用静态代码分析工具。废话不多说,让我们来看看现在比较流行静态代码分析工具。...3SonarQube SonarQube 是一种很流行静态分析工具,用于持续检查代码库代码质量和安全性,并在代码评审期间指导开发团队。...6Embold Embold是一个通用静态分析器,可以帮助开发人员在关键代码问题成为障碍之前把它们找出来。它是一个有效诊断、转换和维护应用程序得力工具。...7Veracode Veracode 是一种流行静态代码分析工具。它只针对安全问题,跨管道执行代码检查,以便发现安全漏洞,并将 IDE 扫描、管道扫描和策略扫描作为其服务一部分。

    3.2K50

    reFlutter:一款针对Flutter逆向工程分析工具

    关于reFlutter reFlutter是一款功能强大逆向工程分析工具,该工具主要针对是Flutter应用程序。...该框架使用了已编译且重新封装Flutter库来帮助广大研究人员对Flutter应用程序进行逆向工程分析。...除此之外,reFlutter框架代码还修改了快照反序列化进程,以方便研究人员对目标应用程序执行动态分析。...支持引擎- Android:ARM64、ARM32; iOS:ARM64; 发布版本:稳定版(Stable)、测试版(Beta); 工具安装- 适用于Linux、Windows和macOS: pip3...Android端使用 生成apk必须对齐并签名,这里我们可以使用uber-apk-signer和下列命令: java -jar uber-apk-signer.jar --allowResign -

    4.9K30

    企业级静态代码分析工具清单

    如果要选择一款企业级静态源代码安全扫描工具,那么Gartner 2021应用程序安全测试 (AST) 魔力象限,就可以给我们在产品选型提供很重要参考。...本文整理是一份商业静态源代码分析工具清单,收集国内外主流SAST工具,以了解产品方向和动态。...---- 1、Fortify Static Code Analyzer 一款功能全面的源代码安全扫描工具,自动静态代码分析可帮助开发人员消除漏洞,并构建安全软件。...现已支持Python、NodeJS、PHP、Java 、Go五中语言代码安全检测。...官网地址: http://www.dumasecurity.com/goods.html 9、Wukong(悟空) 一款静态代码分析工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中技术漏洞和逻辑漏洞

    1.9K30

    推荐:Mac下高效静态代码分析神器Unstand详解

    本文墨香投稿,推荐大家用一款Mac下强大静态代码分析工具,以后妈妈再也不用担心我不会分析代码啦。...之前用Windows系统,一直用source insight查看代码非常方便,但是年前换到mac下面,虽说很多东西都方便了,但是却没有了静态代码分析工具,很幸运,前段时间找到一款比source insight...软件还强大代码静态分析工具,堪称神器—Understand。...这款软件具有强大代码静态分析功能,并且可以绘制各种流程图,不幸是没有发现Windows版本,只看到mac版和Linux版本因此用Windows系统朋友抱歉了。...上面我介绍改软件时提到可以绘制流程图等功能,下面就针对这个功能介绍一些一些图形绘制功能,帮助你快速分析代码。

    2.4K10

    Kube-Score:一款针对Kubernetes安全分析工具

    Kube-Score Kube-Score是一款针对Kubernetes性能及安全分析工具,该工具能够对Kubernetes对象定义进行静态代码分析,并给出提升Kubernetes性能和安全性方面的建议...工具输出是一份带有提升建议列表,广大研究人员可以根据Kube-Score给出建议来提升自己应用程序安全性和稳定性。...针对macOS、Linux和Windows预构建版本:【点我下载:https://github.com/zegl/kube-score/releases】 Docker安装(Docker Hub):https...CI使用方式 Kube-Score可以在你CI/CD环境中运行,如果工具检测到了严重错误,则会返回退出代码1并退出工具运行。...我们还可以使用—exit-one-on-warning参数来设置工具警告触发等级。 Kube-Score输入数据为你需要在同一命名空间中部署全部应用程序,这样才能获取到最佳建议结果。

    1.1K20

    PHPStan :PHP静态代码质量分析工具

    PHPStan 是一款针对 PHP 语言代码静态分析工具,它无需实际运行代码就可以发现其中语法错误。如果你想我想改变这一点。那就请使用 PHPStan PHPStan 是什么?...PHPStan 是一种用于 PHP 代码静态分析工具。它是用 PHP 编写,并于 2017 年首次发布。...PHPStan 特点 静态分析: PHPStan 是一款静态分析工具,这意味着它在运行 PHP 代码之前就会对其进行分析。这使得它能够检测到编译时错误,而无需实际运行代码。...集成: PHPStan 可以与各种不同开发工具集成,包括 IDE、文本编辑器和构建工具等。这使得开发者可以在他们日常开发工作中轻松地使用 PHPStan。...PHPStan 是一款非常流行 PHP 代码分析工具,它已被许多公司和项目使用,包括 Facebook、Google、Netflix 和 WordPress 等。

    46710

    Facebook开源静态代码分析工具Infer介绍

    Facebook开源静态代码分析工具Infer使用指南 01 什么是Infer? Infer是Facebook公司一个开源静态分析工具。...Infer 可以分析 Objective-C, Java 或者 C 代码,用于发现潜在问题。其作用类似于sonar和fortify。...06 课后扩展 以上只是基于linux系统简单介绍一下Facebook公司开源代码扫描工具Infer简单用法,让大家可以有个简单了解。...遗留一些问题感兴趣朋友可以继续扩展学习: 1、mac电脑上如何搭建环境 2、除了扫描maven工程java代码外,gradle编译工程以及ios代码如何扫描 3、可以跟其他代码扫描工具进行一下对比...4、如何去采集jenkins上配置扫描job数据,分析项目各版本用工具扫描出来代码问题一个趋势和遗留问题 ,再了解一下这个工具是否会有误报情况,如果存在误报,是否可以设置过滤?

    2.8K10
    领券