企業(yè)級(jí)靜態(tài)代碼分析工具清單

如果要選擇一款企業(yè)級(jí)靜態(tài)源代碼安全掃描工具，那么Gartner 2021應(yīng)用程序安全測(cè)試 (AST) 魔力象限，就可以給我們?cè)诋a(chǎn)品選型提供很重要的參考。

本文整理的是一份商業(yè)靜態(tài)源代碼分析工具的清單，收集國(guó)內(nèi)外主流的SAST工具，以了解產(chǎn)品的方向和動(dòng)態(tài)。

1、Fortify Static Code Analyzer

一款功能全面的源代碼安全掃描工具，自動(dòng)靜態(tài)代碼分析可幫助開發(fā)人員消除漏洞，并構(gòu)建安全的軟件。

官網(wǎng)地址：

https://www.microfocus.com/zh-cn/products/static-code-analysis-sast/overview

2、Veracode

通過(guò)在一個(gè)解決方案中結(jié)合五種應(yīng)用程序安全分析類型來(lái)簡(jiǎn)化 AppSec 程序，并集成到開發(fā)管道中。通過(guò)全面的分析，保障應(yīng)用程序的安全。

官網(wǎng)地址：

https://www.veracode.com/

3、checkmax

Checkmarx提供了一個(gè)全面的白盒代碼安全審計(jì)解決方案，幫助企業(yè)在軟件開發(fā)過(guò)程中查找、識(shí)別、追蹤絕大部分主流編碼中的技術(shù)漏洞和邏輯漏洞，幫助企業(yè)以低成本控制應(yīng)用程序安全風(fēng)險(xiǎn)。

官網(wǎng)地址：

https://www.checkmarx.com/

4、Coverity

一款快速、準(zhǔn)確且高度可擴(kuò)展的靜態(tài)分析 (SAST) 解決方案，可幫助開發(fā)和安全團(tuán)隊(duì)在軟件開發(fā)生命周期 (SDLC) 的早期解決安全和質(zhì)量缺陷，跟蹤和管理整個(gè)應(yīng)用組合的風(fēng)險(xiǎn)，并確保符合安全和編碼標(biāo)準(zhǔn)。

官網(wǎng)地址：

https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html

5、HCL AppScan

靜態(tài)應(yīng)用程序安全測(cè)試 (SAST) 解決方案，有助于在開發(fā)生命周期的早期識(shí)別漏洞，了解其來(lái)源和潛在影響并修復(fù)問題。

官網(wǎng)地址：

https://www.hcltechsw.com/products/appscan

6、騰訊 xcheck

Xcheck是騰訊自研的靜態(tài)應(yīng)用安全測(cè)試(SAST，Static application security testing)工具。現(xiàn)已支持Python、NodeJS、PHP、Java 、Go五中語(yǔ)言的代碼安全檢測(cè)。

7、奇安信代碼衛(wèi)士

一款靜態(tài)應(yīng)用程序安全測(cè)試系統(tǒng)，該系統(tǒng)提供了一套企業(yè)級(jí)源代碼缺陷分析、源代碼缺陷審計(jì)、源代碼缺陷修復(fù)跟蹤的解決方案。

官網(wǎng)地址：

https://www.qianxin.com/product/detail/pid/14

8、DMSCA

企業(yè)級(jí)靜態(tài)源代碼掃描分析服務(wù)平臺(tái)（英文簡(jiǎn)稱：DMSCA）是一個(gè)獨(dú)特的源代碼安全漏洞、質(zhì)量缺陷和邏輯缺陷掃描分析服務(wù)平臺(tái)。

官網(wǎng)地址：

http://www.dumasecurity.com/goods.html

9、Wukong（悟空）

一款靜態(tài)代碼分析工具，為客戶在軟件開發(fā)過(guò)程中查找、識(shí)別、追蹤絕大部分主流編碼中的技術(shù)漏洞和邏輯漏洞，幫助用戶提升抵御網(wǎng)絡(luò)攻擊、防止數(shù)據(jù)泄露等安全問題的能力。

官網(wǎng)地址：

https://www.woocoom.com/