java代码静态安全扫描 静态代码扫描工具coverity

静态代码分析工具有哪些

回答：PC Lint被称为C / c++的PC - Lint / FlexeLint。它是由GIMPEL软件开发的C / c++静态代码检测工具，由许多大型软件公司的程序员使用。

专注于为中小企业提供成都做网站、网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业玉屏免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了成百上千家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

目前主流的静态分析工具有Klocwork，Coverity， TestBad...因为他们的出发点不同，所以各有特点，在国内的发展情况也不一样。

Code Dx是一款商业静态代码分析工具，支持C、C++、Java、.NET等多种代码分析。Code Dx既可以通过Web进行操作，又可以以eclipse的插件形式使用。

Sonar静态代码扫描工具怎么配置针对“代码注释”的规则

1、tree.modifiers().firstToken().trivias()上面的可以获取注释的一个集合，遍历这个集合，如果不为null就说明代码有注释。集合中的对象调用comment方法可获取到注释内容，然后既可以哦安短注释是否是不是有效的。

2、进入配置页面 点击“质量管理”菜单 ，在质量管理页面点击右上角“恢复设置”。导入代码扫描规则 在“恢复设置”对话框中点击“选择文件”按钮，选择代码扫描规则XML文件，再点击“恢复按钮”。

3、1) 打开“系统属性”对话框，点击“环境变量”，进入环境变量对话框。2) 在“系统变量(S)”下点击“新建（W）...”，在编辑系统变量对话框中添加SONAR_RUNNER_HOME变量。

静态代码扫描和漏洞扫描一样吗

1、fortify漏洞扫描是国外的惠普，fortify有两种一种是静态源代码安全扫描，一种是Web动态应用的扫描。

2、在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在。

3、软件安全静态扫描一般在代码的开发期间进行。此过程借助威胁建模和分析，对静态代码进行扫描，从而发现安全漏洞。软件安全动态扫描是对工作环境中的实际代码进行的扫描，它在代码运行期间查找漏洞。

4、源代码扫描和反汇编扫描都是一种静态的漏洞检测技术，不需要运行软件程序就可分析程序中可能存在的漏洞；而环境错误注入是一种动态的漏洞检测技术，利用可执行程序测试软件存在的漏洞，是一种比较成熟的软件漏洞检测技术。