http://hao.jobbole.com/static_code_analysis_tool_list_opensource/?utm_source=hao.jobbole.com&utm_medium=relatedResources

静态代码分析工具清单：开源篇（多语言）

本文是一个静态代码分析工具的清单。共有8个工具，其中7个是开源工具，1个有免费使用的版本，都可以用于多种语言。

Codacy

Codacy几乎包含所有你需要的功能。比如免安装版本、支持多种语言、只关注提交版本中的新问题、企业级安全保障、发现新问题时可以收到通知、安全和性能检查、配置文件适用于所有项目、提供云或者预置版本、代码覆盖率、上千条规则、分析不同分支、灵活定制、代码重复率、搅拌器/复杂性、忽视不相关的问题保持分析结果简洁、估计修复问题的时间、项目统计、在GH/BB/GL上自动注释PR、文档记载每个问题、管理用户角色和权限、设置目标帮助修复技术债务。

通常Codacy官方支持语言版本都支持静态分析、代码重复率、代码复杂性和测试覆盖率。现在支持如下语言：Scala、Java、JavaScript、Python、Ruby、PHP。

社区支持的语言是那些被用户加入Codacy的语言。当支持这些语言的版本可以完美的工作时，它可能只限于静态分析功能。包括CoffeeScript、CSS、C/C++、Dockerfile、SASS、Shell Scrip、Swift和TypeScript。

• 官网：https://www.codacy.com/
• GitHub：https://github.com/codacy

 

Moose

Moose属于BSD/MIT，是一个基于Pharo环境的软件和数据分析开源平台。它提供多种服务，范围从导入和分析数据到模型化，再到测量、查询、挖掘和构建交互式可视化分析工具。目前支持的语言是C，C++，Java，Smalltalk，.NET，也许以后会添加更多。

• 最新版本：6.1
• 官网：http://www.moosetechnology.org/
• GitHub：https://github.com/moose/Moose
• Humane assessment：http://humane-assessment.com/
• Agile visualization：http://agilevisualization.com/

 

Copy/Paste Detector（CPD）

PMD是一个源代码分析器。它寻找常见的编程缺陷，例如未使用的变量、空的catch块、多余的对象创建等等。支持Java、JavaScript、Salesforce.com Apex、PLSQL、Apache Velocity、XML、XSL。

另外，它包含CPD（copy-paste-detector），一个复制粘贴检测器。CPD寻找重复的代码，支持Java、C、C++、C#、Groovy、PHP、Ruby、Fortran、JavaScript、PLSQL、Apache Velocity、Scala、Objective C，Matlab，Python，Go，Swift和Salesforce.com Apex。

 

• 最新版本：5.5.2
• 发布日期：2016年11月5日
• 官网：https://pmd.github.io/
• GitHub：https://github.com/pmd

 

Pretty Diff

Pretty Diff联合多个语言解析器为当前流行的网络语言比较工具创造了一个能够识别语言差异的工具。它可以立刻比较简化的代码和它对应的开发环境。

因为这个工具包含多个语言解析器执行美化操作，所以有大量的可用功能和更多的可能。

• 最新版本：2.1.15
• 发布日期：2016年12月4日
• 官网：http://prettydiff.com/
• GitHub：https://github.com/prettydiff/prettydiff

 

SonarQube

主要功能：

1. 编写干净的代码：SonarQube提供一份关于源代码整体健康情况的概述。更重要的是，它将在新代码中发现的问题高亮显示。使用项目中的质量门设置，你将可以轻易的修复漏洞，机械的改善代码。

2. 检测错误：代码分析器配备强大的路径敏感数据流引擎，可以严格检测错误。比如空指针引用、逻辑错误、资源泄漏等等。

3. 多语言：超过20个代码分析器可以使用，SonarQube为每个主流编程语言提供一个代码分析器：C/C++、JavaScript、C#、Java、COBOL、PL/SQL、PHP、ABAP、VB.NET、Python、RPG、Flex、Objective-C、Swift、Web等等。每个分析器提供大量的规则以便定位普遍的和特定语言的质量问题。应用程序经常一次使用几种编程语言，例如[C#，C++和JavaScript]或者[Java，JavaScript和HTML]。SonarQube自动检测这些语言，调用对应的分析器。

4. 开发运营一体化：SonarQube希望成为开发运营生态系统的一部分，因此使用网勾或广泛的数据接口将它集成入CI引擎、提升渠道等。

5. 集中控制质量：为开发者、技术领导、管理者和负责几个或者几千个项目的决策层提供一个代码质量共享的愿景。

 

• 最新版本：6.2
• 发布日期：2016年12月14日
• 官网：https://www.sonarqube.org/
• GitHub：https://github.com/SonarSource/sonarqube

 

SourceMeter

SourceMeter是一个创新的精确静态源代码分析工具，可用于C/C++，Java，C#，Python语言和RPG项目。这个工具使在开发时仅从源代码中寻找系统薄弱点成为可能，不需要模拟生存条件。

这个工具还集成了最好的免费可用的静态检查器工具（Cppcheck，PMD，FindBugs，FxCop，Pylint），并且以统一的方式呈现它们的结果。

使用这些分析结果，被分析的源代码质量在短期和长期都可以直接改善和开发。

功能有限的免费版本可用于所有编程语言。

• 官网：https://www.sourcemeter.com/

 

Squale多语言

Squale（Software QUALity Enhancement）帮助处理软件的开发质量，项目主要关注两个方面：

开发增强质量模型：

• 受已存在的标准（ISO-9126）和方法（GQM，McCall）启发；
• 被著名的科研人员验证和改进，他们是Squale团队的一部分；
• 处理技术和节约两方面的质量。

开发一个开源应用去帮助评估软件质量并随着时间提高它：

• 基于第三方技术（商业的或者开源的）产生原始质量信息（例如度量标准）；
• 使用质量模型将这些原始信息合成为高层级的质量因素；
• 所有这些都面向不同的语言，包括Java，C/C++，.NET，Cobol等。

• 最新版本：7.1
• 发布日期：20011年5月26日
• 官网：http://www.squale.org/
• GitHub：https://github.com/bellingard/squale

 

Yasca

Yasca是一个2007年开始开发的源代码分析工具。它被称之为一个美化的正则表达式脚本加上一个其他开源工具集合器。

Yasca可以扫描检查很多语言的源代码、比如Java、C/C++、HTML、JavaScript、ASP、ColdFusion、PHP、COBOL、.NET和其他一些语言。Yasca很容易和其他工具集成、包括FindBugs、PMD、JLint、JavaScript Lint、PHPLint、CppCheck、ClamAV、RATS和Pixy。

Yasca设计的非常灵活，并且容易扩展。实际上，编写一个新的规则是很容易的，和想出一个正则表达式、它适用的文件扩展名或这个规则的名字一样简单。将那些信息放在插件目录下的一个文本文件中就可以运行Yasca了。

• 最新版本：2.21
• 发布日期：2010年11月1日
• 官网：http://www.scovetta.com/yasca.html
• GitHub：https://github.com/scovetta/yasca