Ich war schon immer ein überzeugter Befürworter von kostenlosen und Open-Source-Apps, aber es ist schwierig, den Code jeder App manuell zu überprüfen, und ich freue mich oft auf Tools zur Codeüberprüfung.
Mit diesen Tools können Sie schnell schlechte Programmiergewohnheiten, wichtige Änderungen an den Funktionen einer Komponente, Komponenten mit hohem Risiko, Sicherheitslücken usw. erkennen. Darüber hinaus handelt es sich bei diesen Tools häufig um GUI-basierte Indikatoren, die das Verständnis ohne Kenntnisse in dieser Programmiersprache erleichtern . Allerdings sind nicht alle Codeüberprüfungs-Apps gleich. Hier sind die besten Tools zur Codeüberprüfung für Einzelpersonen und Unternehmen.
Beste Tools zur Codeüberprüfung
1. Gerrit
Gerrit ist ein webbasiertes Tool zur Codeüberprüfung, das von Google entwickelt wurde und für dessen Ausführung ein JDK-Server erforderlich ist. Es funktioniert synchron mit GitHub. Bevor Sie den Code in die Produktion übertragen, wird Gerrit durchlaufen, wo Ihre Kollegen den Code überprüfen können. Gerrit unterstützt das Pushen eines Projekts über Git-Befehle mit SSH oder HTTPS. Sie möchten beispielsweise Ihr Projekt zur Überprüfung auf Gerrit hochladen. Sie können Ihren Gerrit-Server ssh und mit "git push" Ihre Repositorys auf Gerrit hochladen.
Gerrit bietet auch eine Reihe von Plugins wie CodeMirror und Phabriactor an, mit denen Sie sich mit anderen Tools zur Codeüberprüfung verbinden und zusätzliche Funktionen erhalten können.
Überblick:
- Lässt sich gut in GitHub integrieren
- Funktioniert mit git-fähigen SSH- und HTTP-Servern
- Unterstützt eingeschränkte Sprachen wie C, C ++,
Laden Sie Gerrit herunter
2. RhodeCode
RhodeCode ist ein weiteres Peer-Code-Überprüfungstool wie Gerrit, das synchron mit GitHub arbeitet. Es lässt sich jedoch auch gut in Mercurial & Subversion integrieren. Im Vergleich zu Gerrit bietet es eine reichhaltigere und viel intuitivere Benutzeroberfläche. Sie können Inline-Kommentare abgeben und Änderungen am Code über die RhodeCode-Weboberfläche selbst vornehmen. Im Gegensatz zu Gerrit-Erweiterungen bietet RhodeCode eine JSON-RPC-API, mit der Sie Tools von Drittanbietern erstellen können. Mein Lieblingsfeature ist das visuelle Changelog, das die Entwicklungsänderungen aus der Vogelperspektive betrachtet und dabei hilft, den Überblick zu behalten.
Darüber hinaus bieten Sie auch Sicherheitsfunktionen wie Benachrichtigungen über Repository-Regeln. Es informiert den Administrator über verdächtige Aktivitäten im Repo. Sie können den Zugriff des Repos auch auf bestimmte IP-Bereiche beschränken.
Überblick:
- Peer-Code-Überprüfungstool
- Inline-Editor in der RhodeCode-Weboberfläche
- Sicherheitsoptionen für Audit, ACL, IP-Filterung usw.
Laden Sie RhodeCode herunter
3. Suchen Sie nach Sicherheitslücken
Find Security Bugs ist im Gegensatz zum Namen ein Plugin, mit dem Sie alle Arten von Fehlern in Ihrem Code finden können. Es kann schlechte Code-Praxis, Korrektheit, Leistungsengpässe, Sicherheitslücken, zweifelhaften Code, Multithread-Korrektheit usw. erkennen. Das Plugin arbeitet synchron mit dem Maven Central-Repository. Wenn Sie jedoch eine IDE verwenden. Es kann lokal in Verbindung mit Netbeans, Eclipse, IntelliJ, Jenkins und Sonar Qube verwendet werden. Zum Beispiel habe ich Eclipse verwendet. Auf dem Eclipse-Marktplatz ist es unter dem Namen "SpotBugs" verfügbar. Der Installationsprozess war also ziemlich einfach und unkompliziert.
Die einzige Einschränkung bei Spotbugs ist, dass es nur mit Java-Code und Java EE-Anwendungen funktioniert.
Unterstützte Sprachen: Java, Java EE
Überblick:
-
- Funktioniert synchron mit dem zentralen Maven-Repository
- Plugin für Eclipse, Jenkins, Netbeans usw.
Laden Sie Find SecurityBugs herunter
4. SearchDiggity
SearchDiggity ist ein Projekt, das beliebte Hacking-Tools wie GoogleDiggity, BingDiggity, SHODAN Diggity, FlashDiggity usw. zusammenführt. Es ist hauptsächlich ein Tool zur Sicherheitsüberprüfung Ihrer Webanwendung oder Ihres Anwendungsservers. Es verwendet Google-, Bing- und SHODAN-Suchmaschinen, um Ihre Website oder Ihren Server anzugreifen und zu infiltrieren. Es verwendet eine Kombination von regulären Ausdrücken in Suchanfragen, um Daten zu verlieren. Beispielsweise kann SearchDiggity prüfen, ob Ihre AWS-Schlüssel im Klartext gespeichert sind oder ob Ihre Website-Anmeldung für SQL Injection anfällig ist.
Dies ist ein Muss, wenn Ihr Webserver eine große Menge an Webdatenverkehr verarbeitet und viele Daten hostet.
Falls der Fehler "Google Bot erkannt, Scan für 15 Minuten pausieren" angezeigt wird, können Sie SearchDiggity so ändern, dass die offiziellen kostenpflichtigen APIs von Google, Bing und SHODAN unter Hilfe> Inhalt verwendet werden.
Überblick:
- Möglichkeit zur Überprüfung von SQL Injection, anfälligen Ports auf Ihrem Webserver
- Funktioniert mit Google-, Bing- und SHODAN-Suchmaschinen
- Nur Windows-Tool
Laden Sie SearchDiggity herunter
5. Phabricator
Phabricator ist eine Reihe kostenloser Tools zur Überprüfung von Webcodes. Es handelt sich um eine in PHP geschriebene LAMP-Anwendung (Linux, Apache, MySQL, PHP), die eher ein Prüfungs- und Kollaborationswerkzeug wie GitHub ist.
Sie können Phabricator ausprobieren, bevor Sie es auf Ihrem LAMP-Server installieren. Es hat eine gehostete Webinstanz namens Phacility. Sie können Ihre GitHub- oder SVN-Code-Repositorys direkt mit dieser Instanz synchronisieren. Das wichtigste Werkzeug in Phabricator ist Differential. Es funktioniert ähnlich wie GitHub-Commits. Sobald eine Änderung gepusht wird, werden alle Benutzer benachrichtigt, um die Änderung zu überprüfen. Es zeigt einen vollständigen Überblick über die Änderungen und den Code. Nach der Genehmigung wird die Änderung genehmigt und kann in die Produktion übernommen werden.
Unterstützte Sprachen: N / A
Überblick:
- LAMP Server
- Zusammenarbeit und Überprüfung von Codeänderungen mit anderen Benutzern
- Überwachung von Benutzeraktionen auf dem Webserver
- Funktioniert nicht auf einem Windows-Computer
6. MS Application Inspector
Microsoft hat kürzlich sein Codeüberprüfungstool namens Application Inspector gestartet. Laut Microsoft wurde dieses Tool entwickelt, um Open-Source-Software und die Leistung von Code und Bibliotheken auf den Punkt zu bringen. Um den Anwendungsinspektor verwenden zu können, müssten Sie das Paket „dotnet-sdk“ installieren. Der Bericht wird in einer HTML-Datei ausgegeben. Ich habe es in der Nylas Mail-App versucht und die Zusammenfassung des Berichts ist ziemlich kurz.
Die Präsentation ist gut aufgeschlüsselt und kategorisiert die Softwarefunktionen, verwendeten Protokolle, aufgerufenen APIs usw. In Bezug auf die Datenspeicherung verwendet Nylas Mail beispielsweise SQL und ein bisschen NoSQL für PubSub-Cloud-Messaging-Dienste. Ich muss nur auf die Datenspeicherung und die Schaltfläche "Anzeigen" neben "Details" klicken. Es zeigt Ihnen die zugehörigen Regeln auf der rechten Seite. Wenn Sie darauf klicken, wird die Codeüberprüfung im Popup angezeigt. Es ist ziemlich einfach und schnell, Code zu springen und zu überprüfen.
Unterstützte Sprachen: C, C ++, C #, Java, JavaScript, HTML, Python, Objective-C, Go, Ruby, PowerShell, (API) AWS, Azure.
Überblick:
- Prägnanter Bericht, einfach zu verknüpfen und Code zu überprüfen
- Unterstützt eine Reihe von Sprachen
Laden Sie den MS Application Inspector herunter
Schlussworte
Ich verwende Microsoft Application Inspector aufgrund des Run-and-Gun-Ansatzes der App. Es unterstützt eine Vielzahl von Sprachen und bietet eine ziemlich gute Vorstellung vom Code. Wenn Sie einen eigenen dedizierten Webserver haben, ist Gerrit oder Phabricator eine gute Alternative für GitHub. Für weitere Probleme oder Fragen lassen Sie es mich in den Kommentaren unten wissen.
Lesen Sie auch:7 besten Entwicklungsboards für Ihr erstes DIY-Projekt
