Shellcheck

SonarQube

软件

SonarQube 是一个开源的质量管理平台，致力于从项目组合到方法级别持续分析和度量源代码质量。社区版（免费/开源）提供静态代码分析功能，适用于：

PVS-Studio

软件

★4

PVS-Studio 是一个静态分析器，用于检测 C、C++ 和 C# 应用程序源代码中的错误。该工具专为现代应用程序开发者设计，并可集成到 Visual Studio 2005/2008/2010/2012/2013 环境中。

Cppcheck

软件

Cppcheck 是一个用于 C/C++ 代码的静态分析工具。与 C/C++ 编译器及其他许多分析工具不同，它不检测代码中的语法错误。Cppcheck 主要检测编译器通常无法发现的各类缺陷。

Coverity Scan静态分析可免费帮助您发现并修复Java、C/C++或C#开源项目中的缺陷。

Flawfinder

软件

Flawfinder 会检查 C/C++ 源代码，并按风险等级报告可能的安全缺陷（“漏洞”）。它对于在程序广泛发布前快速发现并消除部分潜在安全问题非常有用。

VisualCodeGrepper

软件

VCG 是一款自动化代码安全审查工具，支持 C/C++、Java、C#、VB 和 PL/SQL。它具备若干功能，有望对开展代码安全审查的人士有所帮助，尤其是在时间紧迫的情况下：

Splint 是一个用于静态检查 C 程序中安全漏洞和编码错误的工具。只需少量投入，Splint 即可用作更优的 lint 工具。若进一步投入，在程序中添加注解，Splint 可实现比传统方法更强的检查能力……

Yetus

软件

Apache Yetus 是一组库和工具，用于支持软件项目的贡献和发布流程。