SmartRocket Analyzer静态分析工具一款代码质量静态检测工具,基于符号执行、定理证明和编译前端等技术,对程序代码自动扫描分析,检查代码的编写规范、查找软件运行时缺陷、错误和安全漏洞,并准确定位错误发生的代码堆栈路径,实现源代码全方面“体检”的工具。SmartRocket Analyzer从词法、语法到语义全方位扫描代码中的常见缺陷、安全漏规范标准符合及可读性等问题。除了支持国际/国家/行业标准,还支持行业特色的缺陷分析、最佳实践分析、可读性分析及性能分析等规则集。
SQL注入、代码安全、非法计算、线程锁死、命令注入、堆栈溢出、危险函数
内存泄露、变量未初始化使用、数组越界、空指针解引用、资源泄露、缓冲区溢出
圈复杂度、函数扇入、函数扇出、代码注释率、代码行数、Halstesd度量集
抽象语法树、到达定值分析、前/后支配分析、活跃变量分析、控制流分析、调用分析、变量binding分析、污点分析、符号执行
检查代码是否符合编码规范,有助于维持代码风格的一致性;发现潜在的错误和漏洞,如语法错误、逻辑错误、内存泄漏等
识别代码中的安全漏洞,如SOL注入、跨站脚本攻击(XSS)、缓冲区溢出等
在开发早期就能发现问题,避免问题在项目后期才被发现,减少返工
确保软件开发过程能够按照既定标准、法规要求和最佳实践来执行的关键
通过持续的静态分析,可以避免代码“腐烂”,有助于新加入的开发者快速理解现有代码的结构和质量
可以集成到持续集成(CI)流程中,确保每次代码提交都不会降低项目质量
