企业级静态代码分析工具清单

如果要选择一款企业级静态源代码安全扫描工具，那么Gartner 2021应用程序安全测试 (AST) 魔力象限，就可以给我们在产品选型提供很重要的参考。

本文整理的是一份商业静态源代码分析工具的清单，收集国内外主流的SAST工具，以了解产品的方向和动态。

1、Fortify Static Code Analyzer

一款功能全面的源代码安全扫描工具，自动静态代码分析可帮助开发人员消除漏洞，并构建安全的软件。

官网地址：

https://www.microfocus.com/zh-cn/products/static-code-analysis-sast/overview

2、Veracode

通过在一个解决方案中结合五种应用程序安全分析类型来简化 AppSec 程序，并集成到开发管道中。通过全面的分析，保障应用程序的安全。

官网地址：

https://www.veracode.com/

3、checkmax

Checkmarx提供了一个全面的白盒代码安全审计解决方案，帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞，帮助企业以低成本控制应用程序安全风险。

官网地址：

https://www.checkmarx.com/

4、Coverity

一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案，可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷，跟踪和管理整个应用组合的风险，并确保符合安全和编码标准。

官网地址：

https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html

5、HCL AppScan

静态应用程序安全测试 (SAST) 解决方案，有助于在开发生命周期的早期识别漏洞，了解其来源和潜在影响并修复问题。

官网地址：

https://www.hcltechsw.com/products/appscan

6、腾讯 xcheck

Xcheck是腾讯自研的静态应用安全测试(SAST，Static application security testing)工具。现已支持Python、NodeJS、PHP、Java 、Go五中语言的代码安全检测。

7、奇安信代码卫士

一款静态应用程序安全测试系统，该系统提供了一套企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪的解决方案。

官网地址：

https://www.qianxin.com/product/detail/pid/14

8、DMSCA

企业级静态源代码扫描分析服务平台（英文简称：DMSCA）是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。

官网地址：

http://www.dumasecurity.com/goods.html

9、Wukong（悟空）

一款静态代码分析工具，为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞，帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

官网地址：

https://www.woocoom.com/