最近，鸿渐科技启动了关于SDL和开发安全的代码分析工具项目。调研了很多产品的功能及POC，下面分享一些调研心得，希望对大家有所帮助：

1、百度搜索

百度搜索“代码分析工具”，虽然发现不少相关工具，但其数据准确性还有待商榷，且具体功能也需进一步POC。

2、开源工具

我们研究过findbugs[1]的sec版、sonar[2]和cobra[3]等开源工具。它们虽然使用起来方便高效，但达不到项目要求的安全标准。不过测出的严重问题并不多。

3、商用产品POC范围确认

根据Gartner和国内权威第三方调研机构的调研，我们选出了若干获得普遍认可的工具，如国外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7]，国内的代码卫士[8]、Wukong[9]、鸿渐SAST[10]和酷德啄木鸟[11]。

根据项目需求，我们亦针对上述产品做了POC，汇总如下：

表一:国外产品对比（含鸿渐SAST）

 注：国外工具1-4为Fortify、checkmarx、Klocwork和Coverity中的某一款，排序无对应关系。

表二：国内产品对比

 注：国内工具1-3为代码卫士、Wukong和酷德啄木鸟中的某一款，排序无对应关系。

大家若想选出合适的工具产品，首先要根据项目需求确定供应商范围，然后再根据POC测试数据进行最终工具确定。以下是通过这次调研，我们总结的一个确定供应商的方法，供大家参考：

通过此次调研，我们发现越来越多优秀的国产工具开始崭露头角，尤其是像鸿渐科技的代码扫描工具SAST[12]，目前已达国内领先，国际先进水平。通过POC结果看，也完全能支撑项目的大部分需求。相信随着它进一步迭代发展，达到国际领先，指日可待。

贸易战以来，美国对我国的打压已扩大到科技领域。国产替代的趋势亦逐渐盛大。“青山遮不住，毕竟东流去。”，相信中国必将突破外部封锁，驶入浩瀚大洋扬帆远航。国内代码分析企业也将迎来自己的高光时刻。

以上就是这次调研的分享，大家有什么想法欢迎留言讨论哦。

参考资料：

[1] http://findbugs.sourceforge.net/

[2] https://www.sonarqube.org/

[3] http://cobra.feei.cn/

[4] https://www.joinfortify.com/

[5] https://www.checkmarx.com/

[6] https://www.perforce.com/products/klocwork

[7] https://scan.coverity.com/

[8] https://www.qianxin.com/

[9] https://www.woocoom.com/

[10] http://www.redrocket.cn/

[11] http://www.codepecker.com.cn/

[12] http://www.redrocket.cn/Home/Product_introduction/index.html?id=2

来源：数世咨询