如果您是軟件開發人員或代碼安全分析師，則通常需要分析源代碼以檢測安全漏洞并維護安全的質量代碼。但是您的代碼中可能存在許多難以手動發現的問題。畢竟，我們仍然是人類，因此即使是最高級的安全分析師也都會錯過一些安全漏洞。我們提供了源代碼分析工具來拯救我們，這是一個功能強大的工具，可以快速，自動地檢查引擎蓋下的所有內容，而無需執行代碼，并且成為人眼的完美伴侶。

源代碼分析工具也稱為靜態應用程序安全性測試工具或SAST工具，旨在向開發人員提供有關他們可能在代碼中引入的問題的即時反饋，這與在軟件開發生命周期中后期查找漏洞相比非常有用。循環(SDLC)。

從一開始就隨著創建高質量安全代碼的增加，出現了向采用這些工具的更大轉變。如今，市場上沒有大量可用的工具，但是對于初創公司和自由職業者來說，商業選擇太昂貴了，但是請不要擔心，這里列出了一些頂級的免費開源靜態代碼分析工具。

1. VisualCodeGrepper

VisualCodeGrepper是針對常用的最流行的編程語言的超快速且強大的源代碼分析工具，全面的掃描工具，它是針對C，C ++，C#，VB，PHP，Java，PL / SQL和COBOL的自動化工具，可大大加快代碼的速度通過識別不安全的代碼來檢查過程。它嘗試在注釋中查找可以指示代碼損壞的短語，并通過統計數據和餅圖提供詳細的報告。它具有一些很棒的功能，這對進行代碼分析的任何人都非常有用，尤其是在時間很昂貴的情況下：

• 使用此工具，您可以分析大多數現代和舊的流行編程語言，例如C，C ++，Java，PHP，COBOL等。只需指定用于正確識別和分析代碼的語言即可。
• 您可以運行多個掃描操作，具體取決于項目的類型和復雜性。在可能的操作中，它可以幫助您觸發代碼的完整掃描過程，并且在此過程中，chard會立即彈出一個新窗口，其中顯示每個組件以進行更好的分析。
• 為整個代碼庫提供一個漂亮的餅圖，其中顯示了代碼，空格，注釋和錯誤代碼的相對比例。
• 顯示了一個列表，以查看每個項目以及可能的錯誤，安全缺陷注釋數，整個項目的百分比以及潛在的不安全標志和代碼位。
• 執行許多復雜的檢查，并允許您使用每種語言的配置文件添加要搜索的所有不良功能。
• 嘗試在注釋中找到可以指示代碼損壞的一系列短語。
• 智能搜索以查找緩沖區溢出以及有符號或無符號比較。

2.RIPS

RIPS(增強編程安全性)是針對PHP，Java和Node.Js的語言特定的靜態代碼分析工具。它可以自動檢測PHP和Java應用程序中的安全漏洞，是應用程序開發的理想選擇。該工具支持所有主要的PHP和Java框架。它可以部署為自托管軟件或用作云服務。具有SDLC集成和相關行業標準。除了RIPS之外，沒有其他工具可以檢測到最深層嵌套在代碼內部的最復雜的安全錯誤，并且準確性極高，因此它是分析代碼的理想選擇。

• 使用本地安裝進行本地代碼掃描以保護代碼隱私。還提供具有安全且高度可擴展的基于云的平臺(SaaS)的在線掃描，而無需本地安裝或維護開銷。
• 無縫的全自動安全測試和代碼漏洞報告。因此，在與構建工具集成之后，IDE和問題跟蹤器以及任何其他自定義工具都可以帶來自動化功能。
• 它跟蹤您在整個開發生命周期中的應用程序進度，并立即發現代碼中的風險和漏洞，以便您可以盡快解決問題，
• 此工具因其速度而非常受歡迎。即使在不到20分鐘的時間內掃描了22億行的巨大磁碼，它也以閃電般的速度掃描您的代碼。
• 在RISP分析引擎的幫助下，可以獨立掃描多種編程語言，同時考慮語言的詳細信息以進行最準確的分析。
• 通過一種非常獨特的方法，該工具可以檢測到一些其他掃描儀可能遺漏的安全漏洞。

3. Brakeman

它是一個免費的開放源代碼漏洞掃描程序，專門為Ruby on Rails應用程序設計。它是一個靜態代碼分析器，可在開發過程中的任何階段掃描Rails應用程序代碼以發現安全問題。與許多其他Web安全掃描程序不同，此工具可以查看應用程序的源代碼，因此無需設置整個應用程序堆棧即可使用它。掃描應用程序代碼后，它將針對所有安全問題生成詳細的報告。

• 無需任何必要的配置即可運行此工具。安裝后，無需進行任何先期設置或配置。
• 在開發過程的任何階段隨時運行。只需使用新的rails生成一個新應用程序并立即檢查，
• 提供對應用程序的更完整介紹。該分析儀可以在安全漏洞被利用之前識別出它們。
• 提供靈活的測試，每次執行的檢查都是獨立的，因此Barkman可以靈活地進行測試，
• 它比“黑匣子”網站掃描儀要快得多，甚至大型應用程序也可以在幾分鐘內被掃描。

4. Flawfinder

它是一個免費的簡單程序，可以掃描C或C ++源代碼，從而快速識別可能的安全漏洞并生成按風險級別排序的報告。它作為開源軟件提供，對于在程序廣泛發布之前快速發現并消除潛在的安全問題非常有用。它非常易于使用，并且經過專門設計，易于與python的pip一起安裝，并附帶一個簡單的用戶指南。它與Common Weakness Enumeration(CWE)兼容，并獲得了CII最佳實踐通過徽章。對于初學者來說非常有用，它對靜態源代碼分析工具進行了簡單介紹。它設計為在Unix，Cygwin，基于Linux的系統和macOS上用作命令行工具，并且僅需要Python 2.7或Python 3。

• 容易安裝，也容易使用。它是入門代碼分析的理想工具。
• 它是具有OSI批準的許可證的免費開源軟件，
• 即使您無法構建軟件也能正常工作
• 它非常快，可以在相對較短的時間內檢查較大的程序
• 它具有更高的命中密度(每千行源代碼中的命中數)。

5.Bandit

這是一個免費工具，專門用于查找Python代碼中的常見安全問題。它使用適當的插件處理每個文件，并在python代碼中生成有關可能的安全性錯誤的詳細報告。它是帶有Apache License 2.0的開源軟件。可以在開發過程中或之后使用此工具，以在將代碼投入生產之前查找Python代碼中的常見安全問題，或使用此工具來分析現有項目并查找可能的缺陷。

• 命令行界面可掃描您的python代碼。
• 支持CSV，HTML或JSON文件。
• 允許指定基準報告的路徑，以忽略您認為不是問題的已知漏洞。
• 使用預提交進行版本控制集成。
• 允許用戶編寫和注冊檢查和格式化程序的擴展名。