两款静态代码检测工具的对比

最新推荐文章于 2025-01-13 19:37:55 发布
最新推荐文章于 2025-01-13 19:37:55 发布
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 测试报告 文章标签: 软件测试 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SourceBrella/article/details/104000798
本文对比测试了源伞科技Pinpoint和SonarQube在检测开源国产CMS软件iBase4J上的表现。Pinpoint在安全隐患和代码错误方面发现更多有效报告,而SonarQube报告的数量较多但多数为风格质量问题。结论是Pinpoint的每个报告都值得重视,而SonarQube的大多数修复建议不影响程序执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

测试背景

使用工具:

  • 源伞科技Pinpoint
  • Sonarqube

测试项目:

  • 开源国产CMS软件iBase4J(6000行代码)

测试结果汇总

数据统计:

  • SonarQube结果:
代码错误 安全隐患 风格质量 总量
有效/总量 2/6 4/4 0/93 6/103
  • 源伞科技Pinpoint结果:
代码错误 安全隐患 风格质量 总量
有效/总量 2/2 19/19 6/7 27/28

我们将所有bug归为以下3类:

<
分类 Sonarqube对应分类 Pinpoint对应分类
代码错误
最低0.47元/天 解锁文章

200万优质内容无限畅学
国产代码审计工具Pinpoint介绍
SourceBrella的博客
02-03 4709
硬核国产代码审计工具Pinpoint介绍 简介 Pinpoint是由国内源伞科技所研制的一款静态代码审计工具,源伞科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描...
一款国产静态代码分析工具与Converity的对比
SourceBrella的博客
01-17 1285
源伞科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力? 1. 扩展和部署功能对比 源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析...
PinPoint调研
Sodawyx的博客
09-06 286
PinPoint简介 何为pinpointpinpoint是一个分析大型分布式系统的平台,提供解决方案来处理海量跟踪数据,主要面向基于tomcat的Java 应用。 为何使用它:和如今相比, 过去的因特网的用户数量相对较小,而因特网服务的架构也没那么复杂。web服务通常使用两层(web 服务器和数据库)或三层(web服务器,应用服务器和数据库)架构。然而在如今,随着互联网的成长,需要支持大量的并发连接,并且需要将功能和服务有机结合,导致更加复杂的软件栈组合。更确切地说,比三层层次更多的n层架构变得更
5 款阿里常用代码检测工具,免费用
最新发布
yjt2045263063的博客
01-13 1015
基于业界和学术界较为流行的缺陷检测手段,并分析和规避其局限性,阿里巴巴 Codeup 的算法工程师们提出了一种新的算法,实现更加精准和高效的分析代码缺陷并推荐优化方案,该算法已被国际软件工程大会(ICSE)收录。使用开源组件本身带来的技术交流和站在巨人肩膀上协作、降低开发成本、加快迭代周期、提高软件质量等优势已经不必赘述,但是,开源软件带来一系列便利的同时,也暗藏大量安全风险,据审计,75%的代码库存在安全漏洞,其中 49%包含高危问题,另外 82%的代码库仍在使用超过 4 年的 outdated 组件。
自动化代码审计工具源伞科技Pinpoint
SourceBrella的博客
01-21 2204
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺...
云效安全那些事儿-Codeup代码智能安全检测服务
BYvonne的博客
01-27 564
随着计算机技术在各行各业广泛而深入的应用,软件规模和调用链路逐渐复杂,潜在的代码安全问题和风险也日益增多。近几年安全漏洞频发,诸多知名软件被发现存在远程代码执行、隐私数据泄露、SQL注入等安全漏洞问题,造成企业资产损失。面对越来越复杂的安全场景和安全漏洞可能会带来的巨大损失,如何识别和管理潜在安全风险成了企业管理者和产研同学的一个不可忽视的问题。
11个代码质量审核和管理工具,程序员必备!
全栈开发者社区
12-04 1411
点击上方[全栈开发者社区]→右上角[...]→[设为星标⭐]如今,代码质量分析和审核已成为每个企业的基本流程。随着开源代码库使用的增加,安全性和代码质量对于构建高质量软件至关重要。不良的...
三大代码审计工具对比
SourceBrella的博客
01-21 4867
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
Pinpoint 安装介绍
liaonanfeng88的优快云博客
12-30 517
安装过程 :https://www.cnblogs.com/yyhh/p/6106472.html git地址:https://github.com/naver/pinpoint 插件生成借鉴:https://github.com/bbossgroups/pinpoint-plugin-generate
静态代码安全检测工具比较.pdf
06-20
【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和选择适合的代码审计工具。 【标签】:SAST...
静态分析工具对比,包括了常见静态分析工具
06-25
对比项包括了厂家名称、所属国家、安装OS、检测引擎、架构、跨文件分析能力、检测器类型支持、规则定制支持能力、静态度量、运行缺陷检测能力、安全漏洞检测能力、支持的检测语言、误报率、漏报率、检测效率、检测...
静态代码分析工具
07-20
PVS-Studio静态代码分析工具作为一种工具来检测代码中的缺陷和商业代码分析对比。越来越多的领域依赖计算机,代码的质量就成了关键。比如航天、国防、工业控制、金融等对安全性,稳定性要求很高的领域。PVS-Studio ...
c语言静态检测工具,静态代码检测工具---PC-lint(for c/c )
weixin_29230865的博客
05-20 2729
近来由于项目的需要,本来想使用unstand c++或者C++ test来检查我们既有代码中函数申明与使用不一致的错误,因为sv项目是用纯C来写的,所以,编译时编译器看到.c后缀自动使用c编译器进行编译,这样由于c编译器不进行强制类型检查,很多问题在编译链接后都无法暴露,也带来了代码编写的隐患。 有人推荐使用pc-lint,自己学习和使用了一下感觉pc-lint类似使用c++的强类型规则检查代码,...
应用安全检测:静态代码分析工具对比
"本文主要探讨了静态代码安全检测工具的重要性,引用了Gartner和NIST的数据强调应用层安全在信息安全中的关键地位。随着网络应用的发展,源代码安全检查成为了保障软件安全的重要手段,尤其是静态代码分析。文章...
对某地铁app的一次静态扫描报告分析
SourceBrella的博客
01-19 361
本次分析从华为应用中心(app-store)下载的某地铁app 分析工具使用了源伞科技Pinpoint 扫描结果 共计找到122个致命问题, 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误,277个安全隐私类问题以及897个执行效率低下问题。 现举例如下: 安全隐私高危漏洞: 漏洞 路径注入–该漏洞可以使得恶意攻击者覆盖任意文件 ...
Coverity vs SonarQube
baidu_31295661的博客
03-01 1757
This page provides more details about languages, frameworks and platforms that are supported by both Coverity and SonarQube and explains the selection of Coverity as our main tool for SAST.
测试工具总结
dou_being的博客
07-11 1058
一、代码类测试工具 代码静态分析工具:Sonar、Coverity 代码静态扫描分析工具(针对C、C++、objective-c):OClint 代码质量管理平台:SonarQube 代码覆盖率工具: java:JaCoCo 测试容器工具:Selenium Grid 自动静态测试:Facebook的Infer(免费)、sonar(主流) 二、自动化测试工具 API自动化测试工具:REST Assured、SoapUI 移动应用自动
静态代码扫描的原理
SourceBrella的博客
01-15 3895
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,静态代码扫描在整个安全开发的流程中起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅...
一些代码静态检查工具的简介
嵌入式之斋
07-07 8497
1、KLOCWORK:                         适用语言:C, C++, JAVA                       是否开源:否,                       是否需要编译:是                       作用:代码静态检查工具。用于高效检测软件缺陷和安全隐患,提供优秀的静态代码分析解决方案。软件号称是业界领导者,能够快
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值