程序静态分析的著名的静态分析工具

Meta-Compilation（Coverity）

由Stanford大学的Dawson Engler副教授等研究开发，该静态分析工具允许用户使用一种称作metal的状态机语言编写自定义的时序规则，从而实现了静态分析工具的可扩展性。MC的实际效果非常优秀，号称在Linux内核中找出来数百个安全漏洞。MC目前已经商业化，属于Coverity Inc.2014年被Synopsys收购。目前学术领域比较认可的静态分析工具，其技术处于领先地位。

mygcc 由一个法国人N. Volanschi开发，其思想来源于MC，试图将自定义的错误检测集成到编译时。

Klocwork

国内用的最为广泛的静态分析工具，由加拿大北电于1996年研发，是中国最早的能够检测语义缺陷的静态分析工具。截止到2015年其版本号为V10,也就是大家常说的K10

LDRA Testbed

英国的编码规则类检测工具，前身为Liverpool大学开发，能够支持C/C++数千种条目的规则检测，包括MISRA C/C++, GJB5369等，是最早进入中国市场的静态分析工具，在军队、军工广泛使用，但其技术仅支持风格类检测，无法进行语义缺陷分析，导致一些常用的运行时缺陷无法发现或者较高误漏报，由此市场占有率逐步下降。截止到2015年其版本号为9.5

HP Fortify

美国HP公司的支持安全漏洞类的检测工具，能够检测C/C++/Java/PHP/ASP/JavaScript等多种语言，数千种检测项，是国内使用最为广泛的静态分析工具。但该工具整体的误报漏报率较高，虽然支持很多种安全漏洞，但需要用户做很多的二次开发工作。

Cobot(库博)

北京大学软件工程中心研发的静态分析工具，能够支持编码规则，语义缺陷的程序分析，能够支持C/C++数千条规则和缺陷的检测，是我国唯一可以称的上是静态分析产品的商业化工具。由于其自主知识产权，对国内的 *** 作系统，编码标准支持的较好，检测精度也基本与上述工具持平，所以也得到了很多用户的认可。

Parasoft C++Test

美国Parasoft公司研发的支持C、C++静态分析的工具，该工具除了可以检测编码规则外，还能检测少量的语义缺陷，此外能够进行测试用例生成。

PyChecker 是一个静态分析工具，它不仅能报告源代码中的错误，并且会报告错误类型和复杂度。Pylint 是检验模块是否达到代码标准的另一个工具想要了解相关内容可以看黑马程序员的公开课。我看了很多公开课，凭良心说，黑马的是最有深度的，不至于白听一节理论。

并且他们的社区和视频库，都有很多很丰富的内容不管是小白还是进阶，都值得看看。官网对话框也可以直接领取课程大纲。

所有的这些新的工具使得确保代码质量比以前简单得多，不过您还需要知道如何使用它们。 代码度量 “监视圈复杂度”展示如何使用简单的代码度量工具和基于 Java 的工具来监视代码复杂度。 “软件架构的代码质量”解释了如何持续地监视并纠正会影响软件架构的长期生存能力的代码质量方面。 “用代码度量进行重构”介绍如何使用相同的代码度量方法和提取方法模式进行有针对性的重构。 静态分析工具 静态分析工具承诺无需开发人员费劲就能找出代码中已有的缺陷。当然，如果有多年的编写经验，就会知道这些承诺并不是一定能兑现。尽管如此，好的静态分析工具仍然是工具箱中的无价之宝： FindBugs 是一个静态分析工具，它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题： “FindBugs，第 1 部分”和“第 2 部分”分别介绍使用 FindBugs 的原因和方法以及如何编写自定义检测器以查找特定于应用程序的问题。 “消除 bug”展示了这个静态分析工具如何帮助分析代码。 “平衡测试，第 1 部分、第 2 部分 和第 3 部分”讨论如何通过引进 FindBugs 静态代码分析工具来改进管理软件质量的方式。 PMD 是一个开源的静态分析工具，它分析 Java 源代码，并找出潜在的 bug： “用 PMD 铲除 bug”解释如何使用 PMD 内置的规则以及您自己定制的规则集来提高 Java 代码质量。

---