一款国产静态代码分析工具与Converity的对比

最新推荐文章于 2025-09-29 19:44:03 发布
原创 最新推荐文章于 2025-09-29 19:44:03 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#编程语言 #java

本文对比了源伞科技的Pinpoint与Converyity在静态代码分析工具的功能,包括扩展和部署、分析能力等方面。Pinpoint在分布式多机扫描、深度指针分析、函数调用链分析、数值精确建模和多线程行为理解方面展现出优势,尤其在处理复杂业务逻辑和深度问题检测上表现突出。

源伞科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力?

1. 扩展和部署功能对比

  • 源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。
  • 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析企业代码库自动学习和生成上述配置文件。
  • Pinpoint对分布式多机扫描部署支持比Coverity好,并发扫描和结果合并x性能也比Coverity更强,能更好支持BAT级别的数千代码库扫描(已在BT部署验证)。

2. 分析能力对比

本节补充一些人工构造的例子介绍Pinpoint在分析能力上比Coverity强的部分。本节所有代码示例,Coverity均有误报或漏报。

  1. Pinpoint更懂数据流
  • 精确深度的指针分析,深入分析内存中的程序行为
  • 高深度高精度函数调用链分析,查找跨越多层函数的深度问题

示例代码如下:
(链接:https://www.sourcebrella.com/online-showcase/?id=5b483da03a21cd078346028f),此示例代码基于空指针(Null Pointer Dereference)问题检测。
准备代码:

在这里插入图片描述
代码中我们定义了一个base基类和两个衍生

最低0.47元/天 解锁文章
静态代码分析工具清单
06-04 686
SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持...
静态分析工具COBOTTestbed对比
chengoodflower的博客
03-14 1636
Testbed为规则检查工具的代表,市场占有量非常大,但随着时间的推移,大家从规则匹配转向了用静态分析工具检查Bug,所以规则检查型工具占有量比开始时候已经减少,但仍有一些比较落后的单位还在继续采购此类工具。3、通过对开源工程的测试,进行误漏报率的对比,发现COBOT(库博)的误漏报率相比Testbed较低,因COBOT主打国内市场,在众多军工单位进行大量试用及使用,吸取了众多单位的意见和建议,更加符合国内军工单位的使用习惯及测试要求。4、此外库博在功能上还可以进行计划任务,检测队列,检测并发的功能支持。
两款静态代码检测工具的对比
SourceBrella的博客
01-16 1358
测试背景 使用工具: 源伞科技Pinpoint Sonarqube 测试项目: 开源国产CMS软件iBase4J(6000行代码) 测试结果汇总 数据统计: SonarQube结果: 代码错误 安全隐患 风格质量 总量 有效/总量 2/6 4/4 0/93 6/103 源伞科技Pinpoint结果: 代码错误 安全隐患 风格质量 总量 有效/...
静态分析工具大集合
03-28
此文档中主要是介绍了各种静态代码分析工具,可供选择。
sourcefare,一款国产开源免费的代码扫描工具,超级轻量、简洁
最新发布
tiklab2021的博客
09-29 1566
sourcefare支持代码安全漏洞、编码缺陷和合规性问题扫描,以及代码重复率、复杂度、覆盖率扫描,支持常见的JavaJavaScript、Go、Python、C++等语言,界面操作简洁明了、开源免费。
静态代码分析工具汇总
热门推荐
dongwuming的专栏
10-26 3万+
静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的
国内外主流静态分析类工具汇总
manok的专栏
07-27 2万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
精选资源
常用Java静态代码分析工具的分析比较
03-04
本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有4种主流Java静态代码分析工具(Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发...
基于字节码分析的Java静态代码检测工具设计源码
02-25
该开源项目为基于字节码分析的Java静态代码检测工具SpotBugs的设计源码,包含3813个文件,涵盖3325个Java源文件、76个PNG图片、41个PO文件、34个XML文件、29个TXT文件、29个属性文件、26个HTML文件、23个Gradle文件...
静态代码分析工具:好用的静态代码分析工具应该具备哪些能力
啊不行了,要长脑子了
04-07 6351
静态代码分析是一种无需执行程序的情况下对源代码进行分析的技术。它通过对代码结构、语法、命名规范等进行检查,帮助开发者发现代码中的潜在缺陷、错误和不符合最佳实践的地方。静态代码分析工具能够自动化地分析代码,提供详细的反馈,帮助开发者在早期阶段就修复这些问题,从而提高软件的质量和安全性。
pclint c c++ keil IAR 静态分析工具
02-27
代码静态分析工具 PC-Lint是一个历史悠久,功能异常强劲的静态代码检测工具。它的使用历史可以追溯到计算机编程的远古时代(30多年以前)
weakscan(漏洞扫描工具)
01-04
weakscan是拥有独立知识产权的国产软件,在对代码文件进行充分的词法分析、语法分析的基础上,应用数据流分析、符号执行、约束求解等技术实现对代码文件的深度扫描,发现代码中存在的漏洞。
converity很容易从一个对象转换到另一个
08-12
converity - 很容易从一个对象转换到另一个
CoverityStaticAnalysis介绍
04-20
Converity prevent静态代码检测工具介绍
coverity install
01-05
Coverity 8.7.1 安装部署指南 计划、安装、调整和支持的平台
sourcefare安装入门教程,5分钟轻松上手
zhangzh1978的博客
09-16 1087
允许用户自定义应用的启动端口,以便在特定网络环境下避免端口冲突或满足其他配置需求。端口配置属性说明serer.port系统启动的端口号(可更改)。支持自定义数据库连接方式,用户可以选择使用内嵌数据库或指定外部数据库地址。根据需求配置数据库连接。数据库配置属性说明是否使用内嵌数据库,true:使用 false:不使用。如果配置为false,需要把该文件中jdbc下的数据库连接信息更改为自己的数据库地址,用户名以及密码。
国产源代码扫描工具端玛源代码扫描分析平台DMSCA的体验报告
weixin_42400722的博客
02-29 1103
国内源代码安全扫描工具DMSCA——端玛源代码扫描工具经过十多年的技术沉淀,在检测能力,技术能力,漏洞查找,漏洞修复等方面已经可以媲美国外知名的源代码扫描工具。同时在售后服务支持,修改需求,定制规则等功能也更加完善。让使用者感受更加优秀的测试体验,并更加贴合使用者的测试应用环境。
【KEIL-MDK】系列——如何使用PC-Lint代码检查工具
小尾巴的博客
01-09 1万+
本文主要介绍 PC-Lint代码检查工具简介及在Keil-MDK下的使用说明
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值