使用checkmarx分别对java、php、android程序源代码进行安全扫描,结合日常工作中使用的商业安全工具,比对结果如下:
在互联网企业中,有使用find bugs。
也有些企业使用Sonar.
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。此外,Sonar 的插件还可以对 Java 以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。
不同企业根据自己系统/平台的框架来选型。
来源:oschina
链接:https://my.oschina.net/u/2315260/blog/3022480