多工具的静态代码平台,适合安全检测比较在意漏报误报的你。它不是简单叠加工具结果,而是做了一套统计,找出不同工具之间的互补点,效果还挺的。平台还支持扩展,用来接入你自己的检测模块也方便,响应也快,体验还不错。
多个静态检测工具的组合使用,是这个研究的亮点。不是靠某一个工具说了算,而是把几种检测结果汇总再。就像多人合力做代码审查,少看漏也少误判。
平台整体比较轻量,扩展性也不错。想加新的检测模块,写个适配接口就行了。比如你有个自己写的小脚本检查 SQL 注入,接入平台里直接跑就完了。
实验数据也挺实在,对比了单个工具和组合平台的效果,漏报率和误报率都降了不少。如果你做的项目安全要求高,推荐你用这个思路搞个自己的检测工具组合。
要是你熟 MATLAB,文章里还贴了不少相关资源,比如PCB 板缺陷检测工具设计和纸张缺陷检测 GUI,可以拿来参考接口结构。
建议你试的时候,先选两三个检测工具组合,比如Cppcheck、Flawfinder、SonarQube这种,用平台做个结果对比,看看哪些结果重合、哪些互补,调整下策略,再上正式项目。
如果你平时对源代码扫描挺上心,可以考虑用这篇论文的思路搞个轻量级的安全检测平台。开发省事,效果也靠谱。