我一直在我的应用程序中使用 PMD 和 Findbug,但 fortify 设法检测到我的应用程序中的一些安全漏洞。我想知道是否有其他开源软件可以完成与 Fortify 类似的工作?
如果您专注于安全性,则可以从其他安全规则中受益。Find Security Bugs 是一组用于 FindBug 的检测器。
免责声明:我是工具提及的作者
以下是由NIST维护的静态分析器的详尽列表 http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html:
Sonar与Fortify非常相似。但是,它更关注代码质量/指标,而不是安全性。信息方面有一些重叠。此外,还有适用于Sonar的插件,例如安全规则,可让您添加更多安全指标。