目前，市面上有許多代碼分析工具，但昂貴的費用對于初創(chuàng)公司和個人來說有些難以承受。但以下的免費靜態(tài)分析工具可以幫助到你。

1、DeepCode

作為一個代碼分析工具，DeepCode利用人工智能來幫助清理代碼，主要功能是檢查代碼并突出顯示可能容易受到安全漏洞破壞的部分。

使用DeepCode工具，我們可以在達到臨界安全級別之前分析用戶輸入處理。因此，當任何數(shù)據(jù)在沒有安全驗證或清除的情況下從一個點移動到另一個點時，該工具會將其標記為受污染的，并向您發(fā)出警告。可以標記的問題包括跨網(wǎng)站腳本、SQL注入威脅、遠程代碼執(zhí)行以及路徑遍歷攻擊等，

2、RIPS

RIPS通過標記和解析所有源代碼文件，來自動檢測PHP應(yīng)用程序中的漏洞。

它能夠?qū)HP源代碼轉(zhuǎn)換為程序模型，檢測程序流期間用戶輸入可能污染的敏感接收器，即潛在易受攻擊的函數(shù)。只有它可以檢測到最深層嵌套在代碼內(nèi)部的最復(fù)雜的安全錯誤，準確性極高，是分析代碼的最佳選擇。

3、Flawfinder

Flawfinder是一個對于初學(xué)者來說是個很棒的工具，它能在短時間內(nèi)效率極高地檢查較大的程序，命中密度也高。它通過掃描C或C ++源代碼，從而快速識別可能的安全漏洞并生成按風(fēng)險級別排序的報告。作為開源軟件提供，能夠在程序廣泛發(fā)布之前快速發(fā)現(xiàn)并消除潛在的安全問題。

4、Brakeman

Brakeman是一個靜態(tài)代碼分析器，能夠掃描開放源代碼漏洞的程序，可在開發(fā)過程中的任何階段掃描Rails應(yīng)用程序代碼以發(fā)現(xiàn)安全問題。因為該工具能夠查看應(yīng)用程序的源代碼，因此無需設(shè)置整個應(yīng)用程序堆棧即可使用它。在Brakeman掃描應(yīng)用程序代碼后，它會針對所有安全問題生成詳細的報告。并且，它的每次檢查都是獨立執(zhí)行的，靈活性很強。

5、Fortify

Fortify專注于掃描代碼庫中的安全漏洞。它幾乎涵蓋所有編程語言，為你提供解決漏洞的建議，與流行的CI/CD工具輕松集成。它重點關(guān)注已知的安全漏洞以及可能存在問題的任何惡意軟件或損壞文件的存在。
責(zé)編AJX