开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

针对Java的静态分析工具推荐？

针对Java的静态分析工具推荐，以下是一些常用且功能强大的静态分析工具：

SonarQube: SonarQube是一个开源的自动化代码分析工具，支持多种编程语言，包括Java。它可以帮助您检测和报告编码规范、安全隐患、重复代码等问题。SonarQube与GitHub、GitLab和Bitbucket等代码托管平台集成，可帮助您持续监控项目质量。
FindBugs: FindBugs是一个静态分析工具，它利用字节码对比技术，找出Java代码中的缺陷。它可以帮助您快速定位并修复代码中的错误和安全漏洞，提高代码质量。
PMD: PMD是一个静态代码分析工具，它可以帮助您识别Java代码中的重复代码、空指针引用、不安全的代码等问题。PMD支持多种语言，包括Java、C++等。
SpotBugs: SpotBugs是Java版的FindBugs，它支持Java、Groovy、Kotlin和Scala等语言。SpotBugs利用了Groovy的扩展语法，可以帮助您识别不易识别的代码缺陷。
PMD - Java: PMD提供了基于正则表达式和模式匹配的静态代码分析，可以检查出许多潜在的代码质量问题。

以上列出的是一些常用的静态分析工具，它们可以帮助您改善Java代码的质量，减少安全隐患，提高代码的可读性和可维护性。您可以尝试使用这些工具，并选择适合您项目的工具。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Wpbullet：针对WordPress的静态代码分析工具

今天给大家介绍的是一款名叫Wpbullet的工具，广大安全研究人员可以使用这款工具来对WordPress、插件、主题以及其他PHP项目进行静态代码分析。 ?...工具安装大家可以直接从Wpbullet的GitHub代码库中将项目克隆至本地，然后安装工具的依赖组件，并运行工具脚本： $ git clone https://github.com/webarx-security.../wpbullet wpbullet $ cd wpbullet $ pip install -r requirements.txt $ python wpbullet.py 工具使用下面给出的是所有可用的操作选项...,CrossSiteScripting” —cleanup(可选项) 在对远程下载的插件进行完扫描操作之后，自动删除本地.temp目录的内容 —report(可选项) 将分析结果以JSON格式数据存储至...，它允许我们重写每一个模块的BaseClass方法并实现我们自己的方法。

6413 0

Mariana Trench：针对Android和Java应用程序的静态代码分析工具

关于Mariana Trench Mariana Trench是一款功能强大的静态代码分析平台，在该工具的帮助下，广大研究人员可以轻松针对Android和Java应用程序进行静态代码分析。...工具安装在虚拟环境中安装Mariana Trench非常简单，只需要运行下列命令即可： (mariana-trench)$ pip install mariana-trench 工具运行我们将使用一个简单的...github.com/facebook/mariana-trench (mariana-trench)$ cd mariana-trench/documentation/sample-app 接下来，我们就可以执行静态代码分析了...使用Mariana Trench对测试App执行完分析后，会发现四个安全问题，分析的输出结果将包含针对应用程序中每一个方法的相关信息。...进一步处理分析的输出结果其实并非人类可读的，因此我们还需要对这些信息进行进一步处理，这里将使用到SAPP： (mariana-trench)$ sapp --tool=mariana-trench

7593 0

Truegaze：一款针对AndroidiOS应用源码的静态分析工具

Truegaze Truegaze是一款专门针对Android和iOS应用程序的静态分析工具，该工具主要针对的是应用程序源代码之外的资源安全问题，例如字符串、第三方库和配置文件等等。...广大研究人员可以利用Truegaze来对目标移动端应用程序进行安全检测与分析。...工具要求该工具的正常运行需要Python 3环境，我们可以直接在requirements.txt文件中找到所有的依赖模块。...显示已安装的工具版本： user@localhost:~/$ truegaze version Current version: v0.2 工具架构 Truegaze是一款命令行工具，该工具由多个能够检测安全漏洞的功能模块组成...，其中的每一个模块都可以执行单独的扫描任务，所有的扫描结果都可以直接打印输出在命令行工具中。

4644 0

Infer：Facebook Java静态分析工具初探

在使用之前，第一步当然是了解该工具是什么，能做什么。Infer是Facebook最近开源的一个静态分析工具。是为iOS和Android设计的，它用于在app发布之前，发现其中的bug。...该问题的答案归结为你对静态分析工具的态度。Infer明显既不是第一个Java静态分析工具（例如，FindBugs是其中比较流行的一个），也不是第一个开源的这类工具。...Infer还面临一些Java语言自身的限制。它不能处理Java的并发工具（Concurrency Utilities）或特性，比如计算。这些问题同样困扰着在其它静态分析工具，但是这点确实需要谨记。...工作流中的应用静态分析工具通常在开发阶段使用。它们的本质是一个测试工具，是作为开发过程或CI/CD工作流中的一个步骤。它们不能代替调试器，因为它们工作的时候代码已经编译完成。...结论当一个像Facebook一样的公司开源一个使用的很好的Java工具时，是值得我们去看一下的。Infer不是特意为Java设计的，但是它能对Java app做静态代码分析。

9042 0

Androwarn：一款针对Android端恶意软件的全功能静态代码分析工具

Androwarn介绍 Androwarn是一款专为Android端应用程序设计的安全分析工具，该功能的主要功能是检测并提醒用户Android应用程序中潜在的恶意行为。...在androguard库的帮助下，Androwarn可以通过对目标应用程序的Dalvik字节码和Smali代码进行静态分析，来判断目标应用程序中潜在的恶意行为。...分析完成之后，工具会自动生成分析报告，报告中的技术细节划分，取决于用户的设置参数。...功能介绍 1、针对不同类型恶意行为的字节码和数据流结构进行分析： a) 电话标识符提取：IMEI, IMSI, MCC, MNC, LAC和CID等等； b) 设备设置提取：软件版本、...如果用户选择的是HTML格式的报告，工具会生成一份单独的HTML文件，并自动潜入CSS/JS资源。参考样本项目目录中还给广大用户提供了一份用于分析参考的恶意软件样本，该样本中整合了多种恶意行为。

1.4K2 0

Checkov：一款针对基础设施即代码（IaC）的静态代码安全分析工具

关于Checkov Checkov是一款针对基础设施即代码（IaC）的静态代码安全分析工具，在该工具的帮助下，广大研究人员可以在在Terraform、CloudFormation、Kubernetes...功能介绍 1、内置了超过1000种针对AWS、Azure和Google Cloud的安全和合规性最佳实践策略。...6、使用正则表达式、关键字和基于熵的检测来识别敏感数据。 7、评估Terraform提供商设置，以规范那些通过Terraform管理的IaaS、PaaS或SaaS的创建、管理和更新行为。...工具要求 1、Python >= 3.7 2、Terraform >= 0.12 工具安装 pip3 install checkov Alpine安装 pip3 install --upgrade...工具配置工具的配置文件config.yaml样例如下： branch: develop check: - CKV_DOCKER_1 compact: true directory:

2.3K3 0

使用findbugs静态代码分析工具检查Android Java代码

1.背景在 android 开发中，我们可以使用 findbugs 工具来检查我们的java代码。介绍 FindBug是一款开源的Java代码检查工具，遵循GNU公共许可协议。...它可以检查Java类或者JAR文件，运行的是Java字节码而不是源码，检查原理是：将字节码与一组缺陷模式进行对比来发现可能存在的问题，这些问题包括空指针引用、无限递归循环、死锁等。...检查的bug类型包括： Bad practice 坏的实践：常见代码错误，序列化错误，用于静态代码检查时进行缺陷模式匹配； Correctness 可能导致错误的代码，如空指针引用等；国际化相关问题：...如错误的字符串转换；可能受到的恶意攻击，如访问权限修饰符的定义等；多线程的正确性：如多线程编程时常见的同步，线程调度问题；运行时性能问题：如由变量定义，方法调用导致的代码低效问题。...= files("${project.rootDir}/app/build/intermediates/javac") source 'src' include '**/*.java

2.2K0 0

静态代码分析工具清单

SAST，即静态应用程序安全测试，通过静态代码分析工具对源代码进行自动化检测，从而快速发现源代码中的安全缺陷。...本文是一个静态源代码分析工具清单，收集了一些免费开源的项目，可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。...---- 1、RIPS 一款不错的静态源代码分析工具，主要用来挖掘PHP程序的漏洞。...项目地址： http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级源代码静态分析工具，支持Java、PHP、C#、Python、Go等27种编程语言，...项目地址： https://sourceforge.net/projects/visualcodegrepp/ 6、FindBugs 一款静态分析工具，检查程序潜在bug，在bug报告中快速定位到问题的代码上

3.1K1 0

静态日志分析工具webalizer

http://www.webalizer.org/操作流程：创建首页文件{防止访问到测试页面}echo "hello world. " >> /var/www/html/index.html创建一个用来存放分析结果的目录...修改lang/webalizer_lang.simplified_chinese的编码类型#借助windows下的NotePad++工具进行修改{修改为utf-8类型，再重新上传到服务器的lang目录下...利用模板生成配置文件cd /usr/local/webalizer/etccp -a webalizer.conf.sample webalizer.conf修改配置文件{让webalizer找到需要分析的日志...，并将分析结果存放到指定目录下}vim /usr/local/webalizer/etc/webalizer.confLogFile /var/log/httpd/access_log #分析谁的日志(...哪个文件)OutputDir /var/www/html/webalizer #分析后的结果保存在哪里执行此命令进行分析：/usr/local/webalizer/bin/webalizer -c /usr

9902 0

Slither：第一款针对Solidity的静态分析框架

Slither是第一个开源的针对Solidity语言的静态分析框架。Slither速度非常快，准确性也非常高，它能够在不需要用户交互的情况下，在几秒钟之内找到真正的漏洞。...该工具高度可配置，并且提供了多种API来帮助研究人员审计和分析Solidity代码。 ? 目前，我们开源了Slither的核心分析引擎，这个核心提供了很多高级静态分析功能。...除此之外，我们还构建了很多检测工具。如果你是一名智能合约的开发者，一名安全专家，或者是一名学术研究人员，你肯定能发现Slither的价值。...可自主集成其他功能 Slither拥有简单的命令行接口，如果你想对一份Solidity文件运行所有的检测工具，你只需要运行： $slither contract.sol ?...工具安装 Slither要求Python 3.6+、solc和Solidity编译器。

1.3K5 0

Tarnish：一款针对Chrome扩展的静态安全分析平台

今天给大家介绍的是一个名叫Tarnish的工具，Tarnish是一个Chrome扩展静态分析工具，可帮助研究人员对Chrome扩展的安全情况进行审计。 ?...工具下载如果你不想使用线上版本，你想在本地自行配置Tarnish的话，可以直接使用git命令将项目源码从GitHub库克隆至本地： https://github.com/mandatoryprogrammer...指纹分析：检测web_accessible_resources，自动化生成Chrome扩展指纹（JavaScript）。...潜在的点击劫持分析：检测设置了web_accessible_resources指令的扩展html页面。根据页面的用途，判断页面是否容易受到点击劫持攻击。...内容安全策略（CSP）分析器和绕过检查器：它们可以检测出扩展中CSP的弱点，并提供绕过CSP和CDN白名单的任何潜在方法。

5671 0

针对Java JIT的优化(转表工具:xresloader)

之前做了一个转Excel表到lua/二进制/json/xml的工具-xresloader。目的一方面是方便策划。另一方面是统一客户端和服务器的转表模式，并且要灵活适应环境变化。...在做了简单地分析以后发现，在转换一个表格的时候，java载入jar包之后花了超过三分之二的CPU用于编译和编译优化java字节码。不到三分之一的CPU时间用于转表。...但是这个特性放到命令行工具上就比较伤了，因为命令行工具一般都是执行次数频繁但是执行时间很短的，如果像这样每次运行去编译反而会浪费总体的资源和时间。...而我尝试关掉java的JIT时，实际时间会更长，所以就有必要针对Java这个特性做一些特别的优化。仍然是为了容易和其他工具集成，所以我这里设计成了可以通过stdin来获取多次转表的信息。...（我的机器是4核8线程的CPU，型号是至强 E3-1230 V2）所以我把批量转表工具的默认最大并发度都限制到了2。

5242 0

针对某mysql批量提权工具的后门分析

想必，上面标注的够清楚了吧。！不多说 ? ? 都说无力不起早一个程序加了这么多后门.... Windows小马下载地址三个......VBS执行脚本1个 linux小马下载地址连个........添加后门帐号 mysqld 654321*a 最可恨的是还删除linux的 wget 真是天下间没有免费的午餐啊......

1K2 0

配置Android项目 - 静态代码分析工具

https://hackernoon.com/configuring-android-project-static-code-analysis-tools-b6dd83282921#.29l4un3xn 静态代码分析工具...静态代码分析工具 - 分析代码而不执行它。...有助于保持你的代码健康，并保持代码质量。在Android上，最流行的代码分析工具是： Lint PMD Findbugs 我通常将静态代码分析脚本和相关文件保存在单独的文件夹中。...Lint lint工具检查你的Android项目源文件是否存在潜在错误，并针对正确性，安全性，性能，可用性，可访问性和国际化进行优化改进。...有关lint的更多信息，请访问官方网站。 Findbugs 静态代码分析工具，用于分析Java字节码并检测各种各样的问题。

6732 0

7个顶级静态代码分析工具

作者丨Saif Sadiq 策划丨田晓旭静态代码分析或源代码分析是指使用静态代码分析工具对软件的“静态”(不运行的) 代码进行分析的一种方法，找出代码中潜在的漏洞。...在知道了什么是静态代码分析之后，接下来就有必要了解一下市场上有哪些好用的静态代码分析工具。废话不多说，让我们来看看现在比较流行的静态代码分析工具。...3SonarQube SonarQube 是一种很流行的静态分析工具，用于持续检查代码库的代码质量和安全性，并在代码评审期间指导开发团队。...6Embold Embold是一个通用的静态分析器，可以帮助开发人员在关键代码问题成为障碍之前把它们找出来。它是一个有效诊断、转换和维护应用程序的得力工具。...7Veracode Veracode 是一种流行的静态代码分析工具。它只针对安全问题，跨管道执行代码检查，以便发现安全漏洞，并将 IDE 扫描、管道扫描和策略扫描作为其服务的一部分。

3.2K5 0

reFlutter：一款针对Flutter的逆向工程分析工具

关于reFlutter reFlutter是一款功能强大的逆向工程分析工具，该工具主要针对的是Flutter应用程序。...该框架使用了已编译且重新封装的Flutter库来帮助广大研究人员对Flutter应用程序进行逆向工程分析。...除此之外，reFlutter框架的代码还修改了快照反序列化进程，以方便研究人员对目标应用程序执行动态分析。...支持的引擎- Android：ARM64、ARM32； iOS：ARM64；发布版本：稳定版（Stable）、测试版（Beta）；工具安装- 适用于Linux、Windows和macOS： pip3...Android端使用生成的apk必须对齐并签名，这里我们可以使用uber-apk-signer和下列命令： java -jar uber-apk-signer.jar --allowResign -

4.8K3 0

Infer：Facebook开源代码静态分析工具

该工具用 OCaml 开发，主要用来对Java、Objective-C和C语言进行代码静态分析。...36Kr也做这个项目写了篇报道，这里摘录几句： Infer的联合开发者Peter O’Hearn称，Infer可以将大型代码分而治之，切割成小段代码，然后再将分析结果整合起来。...这属于符号化人工智能（有别于更接近人思维模式的神经网络AI）的一种，据称其代码修复率可达80%。...Infer源自O’Hearn和他的学生Cristiano Calcagno及助教Dino Distefano的研究成果。三人创办了一家初创企业Monoidics，原本打算做成商业化产品。...他们意识到在这里可以产生更大的影响，最终让Facebook把这种工具开源了。

1.2K4 0

企业级静态代码分析工具清单

如果要选择一款企业级静态源代码安全扫描工具，那么Gartner 2021应用程序安全测试 (AST) 魔力象限，就可以给我们在产品选型提供很重要的参考。...本文整理的是一份商业静态源代码分析工具的清单，收集国内外主流的SAST工具，以了解产品的方向和动态。...---- 1、Fortify Static Code Analyzer 一款功能全面的源代码安全扫描工具，自动静态代码分析可帮助开发人员消除漏洞，并构建安全的软件。...现已支持Python、NodeJS、PHP、Java 、Go五中语言的代码安全检测。...官网地址： http://www.dumasecurity.com/goods.html 9、Wukong（悟空）一款静态代码分析工具，为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞

1.8K3 0

推荐：Mac下高效静态代码分析神器Unstand详解

本文墨香投稿，推荐大家用一款Mac下强大的静态代码分析工具，以后妈妈再也不用担心我不会分析代码啦。...之前用Windows系统，一直用source insight查看代码非常方便，但是年前换到mac下面，虽说很多东西都方便了，但是却没有了静态代码分析工具，很幸运，前段时间找到一款比source insight...软件还强大的代码静态分析工具，堪称神器—Understand。...这款软件具有强大的代码静态分析功能，并且可以绘制各种流程图，不幸的是没有发现Windows版本，只看到mac版和Linux版本因此用Windows系统的朋友抱歉了。...上面我介绍改软件时提到可以绘制流程图等功能，下面就针对这个功能介绍一些一些图形的绘制功能，帮助你快速分析代码。

2.4K1 0

Kube-Score：一款针对Kubernetes的安全分析工具

Kube-Score Kube-Score是一款针对Kubernetes的性能及安全分析工具，该工具能够对Kubernetes对象定义进行静态代码分析，并给出提升Kubernetes性能和安全性方面的建议...工具的输出是一份带有提升建议的列表，广大研究人员可以根据Kube-Score给出的建议来提升自己应用程序的安全性和稳定性。...针对macOS、Linux和Windows的预构建版本：【点我下载：https://github.com/zegl/kube-score/releases】 Docker安装（Docker Hub）：https...CI使用方式 Kube-Score可以在你的CI/CD环境中运行，如果工具检测到了严重错误，则会返回退出代码1并退出工具的运行。...我们还可以使用—exit-one-on-warning参数来设置工具的警告触发等级。 Kube-Score的输入数据为你需要在同一命名空间中部署的全部应用程序，这样才能获取到最佳的建议结果。

1.1K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭