两款静态代码检测工具的对比

最新推荐文章于 2025-01-13 19:37:55 发布
原创 最新推荐文章于 2025-01-13 19:37:55 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#软件测试 #java

本文对比测试了源伞科技Pinpoint和SonarQube在检测开源国产CMS软件iBase4J上的表现。Pinpoint在安全隐患和代码错误方面发现更多有效报告,而SonarQube报告的数量较多但多数为风格质量问题。结论是Pinpoint的每个报告都值得重视,而SonarQube的大多数修复建议不影响程序执行。

测试背景

使用工具:

  • 源伞科技Pinpoint
  • Sonarqube

测试项目:

  • 开源国产CMS软件iBase4J(6000行代码)

测试结果汇总

数据统计:

  • SonarQube结果:
代码错误 安全隐患 风格质量 总量
有效/总量 2/6 4/4 0/93 6/103
  • 源伞科技Pinpoint结果:
代码错误 安全隐患 风格质量 总量
有效/总量 2/2 19/19 6/7 27/28

我们将所有bug归为以下3类:

<
分类 Sonarqube对应分类 Pinpoint对应分类
代码错误
最低0.47元/天 解锁文章
国产代码审计工具Pinpoint介绍
SourceBrella的博客
02-03 4928
硬核国产代码审计工具Pinpoint介绍 简介 Pinpoint是由国内源伞科技所研制的一款静态代码审计工具,源伞科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描...
一款国产静态代码分析工具与Converity的对比
SourceBrella的博客
01-17 1335
源伞科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力? 1. 扩展和部署功能对比 源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析...
自动化代码审计工具源伞科技Pinpoint
SourceBrella的博客
01-21 2293
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺...
云效安全那些事儿-Codeup代码智能安全检测服务
BYvonne的博客
01-27 587
随着计算机技术在各行各业广泛而深入的应用,软件规模和调用链路逐渐复杂,潜在的代码安全问题和风险也日益增多。近几年安全漏洞频发,诸多知名软件被发现存在远程代码执行、隐私数据泄露、SQL注入等安全漏洞问题,造成企业资产损失。面对越来越复杂的安全场景和安全漏洞可能会带来的巨大损失,如何识别和管理潜在安全风险成了企业管理者和产研同学的一个不可忽视的问题。
分布式链路追踪工具pinpoint采样率原理分析
独行侠梦的博客
03-13 4801
前言一系列的服务上云后,可能分布在几千甚至几万台服务器上,服务与服务之间存在大量复杂的调用关系,而pinpoint在采集这些服务数据时,同样会产生大量的报文。在naver公司的在线门户服...
静态代码安全检测工具比较.pdf
06-20
【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和选择适合的代码审计工具。 【标签】:SAST...
软件开发AI代码漏洞检测工具对比:Meta Infer与亚马逊CodeGuru的功能、性能及适用场景分析
最新发布
08-21
内容概要:本文深入探讨了两款领先的AI代码漏洞检测工具——Meta Infer与亚马逊CodeGuru。文章首先阐述了在软件开发中,传统代码漏洞检测手段逐渐失效的背景下,AI代码漏洞检测工具的重要性。接着分别介绍了Meta ...
静态分析工具对比,包括了常见静态分析工具
06-25
对比项包括了厂家名称、所属国家、安装OS、检测引擎、架构、跨文件分析能力、检测器类型支持、规则定制支持能力、静态度量、运行缺陷检测能力、安全漏洞检测能力、支持的检测语言、误报率、漏报率、检测效率、检测...
应用安全检测:静态代码分析工具对比
"本文主要探讨了静态代码安全检测工具的重要性,引用了Gartner和NIST的数据强调应用层安全在信息安全中的关键地位。随着网络应用的发展,源代码安全检查成为了保障软件安全的重要手段,尤其是静态代码分析。文章...
静态代码分析工具
07-20
PVS-Studio静态代码分析工具作为一种工具来检测代码中的缺陷和商业代码分析对比。越来越多的领域依赖计算机,代码的质量就成了关键。比如航天、国防、工业控制、金融等对安全性,稳定性要求很高的领域。PVS-Studio ...
5 款阿里常用代码检测工具,免费用
yjt2045263063的博客
01-13 1101
基于业界和学术界较为流行的缺陷检测手段,并分析和规避其局限性,阿里巴巴 Codeup 的算法工程师们提出了一种新的算法,实现更加精准和高效的分析代码缺陷并推荐优化方案,该算法已被国际软件工程大会(ICSE)收录。使用开源组件本身带来的技术交流和站在巨人肩膀上协作、降低开发成本、加快迭代周期、提高软件质量等优势已经不必赘述,但是,开源软件带来一系列便利的同时,也暗藏大量安全风险,据审计,75%的代码库存在安全漏洞,其中 49%包含高危问题,另外 82%的代码库仍在使用超过 4 年的 outdated 组件。
Pinpoint 介绍、安装及使用示例
学亮编程手记
03-23 3230
Pinpoint 是一个开源的应用性能管理(Application Performance Management,简称APM)工具,由韩国 Naver 公司开发并贡献给开源社区。它主要用于大规模分布式服务架构下的应用程序性能监控,能帮助开发者追踪微服务间的调用链路,定位性能瓶颈和异常情况。Pinpoint 支持 Java 和 PHP 应用程序,通过无侵入式地植入探针(agent)到应用服务器中,实现对整个服务调用链路的实时监控,包括但不限于服务调用耗时、SQL 查询统计、线程池状态、RPC 调用统计等。
代码质量审核和管理工具分析比较
爱是与世界平行
05-18 3125
代码质量审核和管理工具分析比较1、SonarQube1.1 SonarQube使用2、DeepScan3、Klocwork4、CodeSonar5、JArchitect6、Fortify7、Codecov 1、SonarQube SonarQube是市场上最受欢迎的代码质量和安全性分析工具。它在开源社区的支持下,目前可以分析和产生对超过25种编程语言的输出,这比市场上大多数工具都要高。它具有免费的社区版本和其他付费版本。利用SonarQube的主要好处是: 它集成了数千种自动的静态代码分析规则,旨在提高开
大咖们都在用的工具,你还不快看看?
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-26 357
师傅们都熟悉哪些?今天来简单介绍一些实用的工具。
如何提高代码质量,推荐 7 个顶级静态代码分析工具
梁桂钊的博客
02-20 1921
点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」作者 | SaifSadiq翻译 | 王者静态代码分析或源代码分...
11个代码质量审核和管理工具,程序员必备!
全栈开发者社区
12-04 1462
点击上方[全栈开发者社区]→右上角[...]→[设为星标⭐]如今,代码质量分析和审核已成为每个企业的基本流程。随着开源代码库使用的增加,安全性和代码质量对于构建高质量软件至关重要。不良的...
代码质量静态检测工具介绍
SourceBrella的博客
01-14 940
代码静态检测 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷,例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减...
代码扫描工具对比
SourceBrella的博客
01-14 1747
1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非...
三大代码审计工具对比
SourceBrella的博客
01-21 5135
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值