代码扫描工具选型—POC结果分享

最近我们安全部门要启动代码扫描工具的项目，学习大厂做SDL和开发安全。花了好大的精力去调研了解这个东西，产品功能和POC什么的，特此记录一下，也给自己做个备忘。

先说下我的调研过程和经验吧：

• 先百度上一通搜索，发现这类产品也不少，还有一些别人的资料，但资料数据也不全准，具体咋样还得自己做POC。

• 我们没有考虑开源的，之前用过几个开源的工具，findbugs的sec版、sonar、cobra等等，最后发现开源工具真的都挺快的，但是达不到我们的安全标准，测出问题不多，可能对小公司比较实用。

• 商用产品POC范围确认：根据国外的gartner和国内类似gartner的调研，确认几个大家都认可的：国外的Frotify、checkmarx、Klocwork、Coverity，国内的有代码卫士、Wukong、鸿渐SAST、酷德啄木鸟。国内好像也有其他的工具，不过要么被大厂收购了，要么没获取到多少数据。

  最后上干货，根据我们的需求，针对上面的几个产品做POC，汇总了一下，内容都在这个表格里：
  <