Android / iOS 静态代码扫描工具调研

Android 篇

名称	来源	功能特点	检查SQL 注入	检查 NullPointException	支持IDE情况
Android Lint	Android SDK	针对Android，检查范围广	否	是	Eclipse、Android Studio
FindBugs	国外	针对Java程序，失去对Android特性的检查	否	是	Eclipse、Android Studio
QA Plug	国外	集合了FindBugs、CheckStyle和PMD的组件插件，失去对Android特性的检查	否	是	Eclipse、Android Studio
360 火线	奇虎360	针对Android,依赖规则检查,可以看作是AndroidLint 的扩充，检查规则有上百条	是	是	Android Studio
godeyes	百度	针对Android/iOS,依赖规则检查，偏向于检查会引起Crash的内容，，检查规则只有几十条	否	是	Eclipse 、Android stuido
infer	facebook	针对Android/iOS的检查工具	否	是	Mac\Linux

iOS 篇

名称	来源	功能特点	检查SQL 注入	检查 NullPointException	支持IDE情况
Clang Static Analyzer	Apple	XCode 自带工具	未测试	是	XCode
OCLint	oclint.org	建立在 Clang 上的工具	未测试	未测试	XCode
infer	facebook	针对Android/iOS的检查工具	否	是	Mac\Linux
godeyes	百度	针对Android/iOS，依赖规则检查，偏向于检查会引起Crash的内容，，检查规则只有几十条	否	是	Mac

参考资料

• 静态代码分析知识库
  • https://www.owasp.org/index.php/Static_Code_Analysis
  • https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
• FindBugs
  • http://findbugs.sourceforge.net/)
  • https://androidbycode.wordpress.com/2015/02/13/static-code-analysis-automation-using-findbugs-android-studio/
• pmd
  • https://pmd.github.io/
• checkstyle
  • https://github.com/checkstyle/checkstyle
• 360 火线
  • http://magic.360.cn/index.html
• Godeyes
  • http://godeyes.duapp.com/
• OCLint
  • http://oclint.org/
  • http://docs.oclint.org/en/stable/
  • http://www.cnblogs.com/itech/p/5238065.html
• infer
  • https://github.com/facebook/infer
  • http://fbinfer.com
  • https://infer.liaohuqiu.net/
  • http://blog.csdn.net/elisa1988/article/details/46531745
• Clang Static Analyzer
  • https://developer.apple.com/legacy/library/featuredarticles/StaticAnalysis/FeaturedArticle.html
• 其他
  • http://www.jianshu.com/p/b81a9f5bcf34