在眾多的Java開發(fā)工具中有一種是靜態(tài)代碼分析工具，下面就讓我們來看看流行的靜態(tài)代碼分析工具有哪些：

1.DeepSource

DeepSource可幫助您在代碼審查期間自動查找和修復代碼中的問題。它可以與 Bitbucket、GitHub 或 GitLab 帳戶集成。此工具會查找反模式、錯誤風險、性能問題并引發(fā)問題。DeepSource 還生成并跟蹤依賴項計數(shù)、文檔覆蓋率等指標。分析器在文件級別(例如在特定位置發(fā)現(xiàn)的反模式)、進一步的存儲庫級別問題(例如發(fā)現(xiàn)的四個依賴項似乎并不安裝)。DeepSource Autofix 建議修復檢測到的問題，并使用建議的更改創(chuàng)建拉取請求。

主要特點

單文件配置

拉取請求的質(zhì)量檢查

廣泛的問題覆蓋范圍

積極維護的分析儀

詳細了解每個問題

跟蹤代碼指標

自定義您的分析以忽略有意的問題

分析人員可以針對常見問題提出修復建議，如果您允許，他們可以使用修復創(chuàng)建拉取請求

在每次提交和拉取請求時運行 Black、YAPF、Go fmt 等代碼格式化程序。不需要 CI 設置。

缺點

不支持 PHP 語言

語言支持

Python、JavaScript、Go、Ruby、Java、Docker、TestIdentify 并修復錯誤風險、反模式、性能問題和安全缺陷，包括每次提交和拉取請求覆蓋范圍、SQL、Terraform、Shell。

定價：

免費供開源、學生和非營利組織使用。付費計劃從 12 美元用戶/月開始。

2.SonarQube

SonarQube是流行的靜態(tài)分析工具，用于持續(xù)檢查代碼庫的代碼質(zhì)量和安全性，并在代碼審查期間指導開發(fā)團隊。SonarQube 用于通過 CI/CD 集成進行自動代碼審查。它還提供質(zhì)量管理工具來幫助您積極地解決問題：IDE 集成、Jenkins 集成、流行的持續(xù)集成服務器和代碼審查工具。

主要特點

多語言

證券分析

發(fā)布質(zhì)量代碼

可維護性

它可以識別棘手的問題

缺點

并非每個 IDE 都支持 SonarQube

沒有選擇忽略有意或團隊決定不修復它們的問題

語言支持

25 多種編程語言，包括 Java、C#、JavaScript、TypeScript、C/C++、COBOL 等。

價錢：

社區(qū)版是免費和開源的。商業(yè)版的許可證起價為 120 歐元。

3.Codacy

Codacy是一種靜態(tài)分析工具，允許開發(fā)人員解決技術債務并提高代碼質(zhì)量。Codacy 在每次提交和 PR 中監(jiān)控代碼質(zhì)量。您可以實施代碼質(zhì)量標準、實施安全實踐并節(jié)省代碼審查時間。

主要特點

代碼審查自動化

代碼質(zhì)量分析

安全碼分析

集群安裝/多實例

缺點

缺乏其他 SaaS 服務的集成(Sonatype、Blackduck、來自 AWS API 網(wǎng)關的 API QOS 指標或 UI/E2E 測試 Saas 服務)

無法加密項目信息或限制對 UI 中源代碼的訪問

相對較小的社區(qū)

語言支持

30 多種語言，包括 Elixir、Go、Java、JavaScript、JSON、Kotlin、Python、Ruby、Scala、Swift、TypeScript 等。

價錢：

免費的開源計劃。高級計劃從 15 美元用戶/月開始。

4.DeepScan

DeepScan是一種領先的靜態(tài)分析工具，旨在支持 JavaScript、TypeScript、React 和 Vue.js。您將能夠使用 DeepScan 尋找可行的運行時錯誤和質(zhì)量問題，而不是編碼約定。將 DeepScan 與您的 GitHub 存儲庫集成，以深入了解您的項目。

主要特點

錯誤跟蹤

構(gòu)建自動化

代碼審查

合作

持續(xù)集成

缺點

有限的語言支持

語言支持

JavaScript、TypeScript、React 和 Vue.js。

價錢：

開源項目免費。商業(yè)計劃從 9 美元席位/月起。

5.Embold

Embold是一種通用靜態(tài)分析器，可幫助開發(fā)人員在關鍵代碼問題成為障礙之前查找它們。它是有效調(diào)查、診斷、轉(zhuǎn)換和維護應用程序軟件的正確工具。AI 和機器學習技術的集成，Embold 將立即查看分級問題，提供最佳解決方案的建議，并在必要時重構(gòu)應用軟件。在您當前的 Dev-Ops 堆棧中、本地或私有或公共云中運行它。

主要特點

視覺和直觀的用戶界面

更深入、更快速的檢查

智能提升性能

無縫集成

缺點

價格相對過高

語言支持

Java、C、C++、C#、Objective-C、TypeScript、JavaScript、Python、PHP、Go、Kotlin、Solidity、SQL

價錢：

免費開源。保費計劃起價為每月 10 歐元。

6.Veracode

Veracode是流行的靜態(tài)代碼分析工具之一，僅針對安全問題。該工具跨管道進行代碼檢查以查找安全漏洞，并將 IDE 掃描、管道掃描和策略掃描作為其服務的一部分。作為程序的一部分，它創(chuàng)建了對審計代碼的評估。

主要特點

編碼時的安全反饋

管道中的快速結(jié)果

讓審核員滿意

高精度無需調(diào)諧

專注于修復

缺點

沒有任何用于自定義掃描規(guī)則

用戶體驗不太好

語言支持

Java、.NET、JavaScript、Scala、Python、PHP、Ruby on Rails、ColdFusion、Swift、C/C++、COBOL、Visual Basic 6、RPG 等等。

價錢：

項目的許可證根據(jù)項目的大小定價。您可以通過在網(wǎng)站上提交表格來請求報價。

7.Reshift

Reshift是一個基于 SaaS 的軟件平臺，可無縫集成到軟件開發(fā)工作流程中，因此組織可以持續(xù)部署安全的軟件交付，而不會減慢其管道。Reshift 減少了查找和修復漏洞、識別數(shù)據(jù)泄露的潛在風險以及幫助軟件公司實現(xiàn)合規(guī)性和監(jiān)管要求的成本和時間。

主要特點

快速設置

安全掃描

安全責備

缺點

不支持 Java 以外的語言

語言支持

Java

價錢：

免費開源。