主なバンドル・ツールの解析範囲について
【ご参考】バンドル・ツールについて、その出所、解析ルール、測定メトリックス等へのリンク集です。
| ツール名 | 出所 | 概要 | 標準ルールの一覧 (OR 全エラー一覧) | 算出するMetrix |
|---|---|---|---|---|
| brakeman | https://brakemanscanner.org/ | Ruby on Rails アプリの脆弱性チェック。コマンドラインツール。 | ||
| checkstyle | http://checkstyle.sourceforge.net/ | Java ソース・コードの、コーディングルール準拠チェック、開発支援ツール | https://checkstyle.sourceforge.io/checks.html | https://checkstyle.sourceforge.io/config_metrics.html https://white-azalea.hatenablog.jp/entry/2019/02/02/154051 |
| chppcheck | http://cppcheck.sourceforge.net/ | C/C++用静的解析ツール。 未定義の振る舞い、危険なコーディング構造を検出してバグを指摘するツール。 | List Of Checks | |
| OWASP Dependency-Check | https://jeremylong.github.io/DependencyCheck/ | Javaと.NETのアプリケーションに関し、既知の脆弱性を持つコンポーネントの利用をチェック。 (実際はPython, Ruby, PHP (Composer) , Node.js 含む) | F.Y.I. Depending on Vulnerable Libraries OWASP Dependency-Check 組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」 | --- |
| ESLint | https://eslint.org/ | Find and fix problems in your JavaScript code | ||
| Gendarme | http://www.mono-project.com/docs/tools+libraries/tools/gendarme/ | Gendarme is a extensible rule-based tool to find problems in .NET applications and libraries. Gendarme inspects programs and libraries that contain code in ECMA CIL format (Mono and .NET) | ||
| JSHint | http://jshint.com/ | Javascriptのエラーや潜在的な問題を検出する。 | ||
| PHP_CodeSniffer | GitHub PHP_CodeSniffer Wiki | PHP, JavaScript and CSS等のファイルを対象に、定義されたコーディング標準の違反を検出する。 | ||
| PHPcs-audit-security | https://github.com/FloeDesignTechnologies/phpcs-security-audit | |||
| PHP MD | https://github.com/phpmd/phpmd | PHP Depend から分岐したツール。JavaツールのPMDと等価なチェックを目指す。 | Current Rule Sets | |
| PMD | https://pmd.github.io/ | Java, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL. を対象 | ||
| GDS PMD Security Rules | https://github.com/albfernandez/GDS-PMD-Security-Rules | |||
| PyLint | https://www.pylint.org/ | Pythonコードのエラーをチェックする。コーディング標準のチェックを行い、異常な匂いを嗅ぎ取る。 | ||
| ScalaStyle | https://github.com/scalastyle/scalastyle | Scalaのコードを解析し、潜在的な問題を検出する。 | ||
| SpotBugs | https://spotbugs.github.io/ | Javaコードの静的解析により、問題を検出する。 | ||
| Find Security Bugs | https://find-sec-bugs.github.io/ | The SpotBugs plugin for security audits of Java web applications. | ||
| Retire.js | https://retirejs.github.io/retire.js/ | 既知の脆弱性を持つJavaScriptライブラリの検出を行う。 |