[[374474]]

【51CTO.com快譯】說到軟件開發(fā)，您編寫的代碼代表了您，這就是為什么編寫簡(jiǎn)潔、易讀且高性能的代碼至關(guān)重要(這條規(guī)則當(dāng)然也有例外，但總的來說，小心謹(jǐn)慎總比事后后悔好)。在開發(fā)工具箱中擁有良好的代碼質(zhì)量工具總是好主意，可通過編寫干凈且易維護(hù)的源代碼來幫助您管理技術(shù)債務(wù)。我們?cè)诒疚闹袑⒘谐鲋档媚紤]的幾款此類工具，希望您覺得有用!

1. DeepSource

DeepSource是一種靜態(tài)分析工具，可以智能化測(cè)試代碼，幫助弄清楚幾個(gè)關(guān)鍵方面的問題，比如性能、反模式、缺陷風(fēng)險(xiǎn)、安全漏洞、樣式和文檔問題。

功能：

• 可使用配置文件生成器進(jìn)行簡(jiǎn)單配置。
• 可對(duì)每個(gè)合并請(qǐng)求(PR)進(jìn)行連續(xù)分析。
• 誤報(bào)較少。

缺點(diǎn)：

• 目前只有SaaS Web應(yīng)用程序這個(gè)版本，CLI版仍在開發(fā)中。

價(jià)格：https://deepsource.io/pricing/

2. embold

embold使您可以對(duì)軟件項(xiàng)目進(jìn)行靜態(tài)分析，并提供代碼質(zhì)量報(bào)告，其中包括檢測(cè)到的問題的熱圖，可幫助您直觀地查看導(dǎo)致代碼異常的具體組件。它還自稱基于AI，可以為您提供建議，以解決這款靜態(tài)分析工具發(fā)現(xiàn)的問題，就像自動(dòng)校正代碼一樣。它支持最常見的持續(xù)開發(fā)策略?？梢詫⑵涮砑拥侥腉itHub/Bitbucket代碼庫中，或在您的CI/CD管道中啟用它。它對(duì)開源項(xiàng)目免費(fèi)。

功能：

• 基于AI提供了代碼重構(gòu)方面的建議。
• 與DevOps易于集成。

缺點(diǎn)：

• 缺乏對(duì)多語言項(xiàng)目的支持。
• 基于代碼行收費(fèi)的模式存在局限性，且令人困惑。

價(jià)格：https://embold.io/pricing

3. SonarQube

另一個(gè)值得考慮的源代碼分析工具SonarQube為程序員提供了一個(gè)平臺(tái)，可以分析27多種不同編程語言中的代碼，并幫助您提高性能和檢測(cè)安全漏洞。它由SonarSource的團(tuán)隊(duì)開發(fā)，對(duì)社區(qū)免費(fèi)開源。SonarQube可以添加到您的CI/CD管道中，或者與您選擇的代碼庫托管平臺(tái)集成，從而幫助執(zhí)行連續(xù)的代碼分析。

功能：

• 多語言支持。
• 執(zhí)行安全分析。
• 檢測(cè)棘手的問題。
• 開源。

缺點(diǎn)：

• 不會(huì)通知用戶何時(shí)完成耗時(shí)的掃描。
• 缺乏與Jira和GitHub更緊密的集成。
• 缺少忽略問題的任何方法。

價(jià)格：https://www.sonarqube.org/downloads/

4. Veracode

這套工具使您可以執(zhí)行代碼審查、自動(dòng)測(cè)試、靜態(tài)分析以及必要的補(bǔ)救步驟，以提高軟件的性能。Veracode作為一款安全解決方案來銷售，可檢測(cè)并報(bào)告程序中的漏洞，同時(shí)提供靜態(tài)分析(SAST)、軟件組成分析(SCA)、交互式分析(IAST)和動(dòng)態(tài)分析(DAST)等功能。

功能：

• 不同測(cè)試方法(SAST、DAST、IAST和SCA)的集中式視圖。
• 提供滲透測(cè)試即服務(wù)。
• 還提供安全咨詢即服務(wù)。

缺點(diǎn)：

• 費(fèi)時(shí)的掃描。
• 缺少Web應(yīng)用程序界面。

價(jià)格：https://info.veracode.com/request-quote.html

5. Code Climate

Code Climate的代碼質(zhì)量工具執(zhí)行自動(dòng)代碼審查，針對(duì)特定的代碼行留下注釋;它還分析測(cè)試范圍，直觀地顯示項(xiàng)目結(jié)構(gòu)中的問題。它支持11種語言，還帶有IDE擴(kuò)展，可以在本地對(duì)代碼進(jìn)行分析，并可與Jira/Trello/GitHub集成，為檢測(cè)到的問題創(chuàng)建工單。

功能：

• 與GitHub集成可針對(duì)合并請(qǐng)求留下注釋。
• 隨帶瀏覽器擴(kuò)展。
• 通過圖表直觀地顯示了代碼質(zhì)量趨勢(shì)。

缺點(diǎn)：

• 無法對(duì)代碼庫中的問題進(jìn)行分類。

價(jià)格：https://codeclimate.com/quality/pricing/

6. Codacy

Codacy是一種代碼審查自動(dòng)化工具，支持30多種不同的編程語言。它還隨帶自托管版本。它使開發(fā)人員可以根據(jù)要分析的代碼選擇規(guī)則集。UI提供了可視化報(bào)告，可幫助團(tuán)隊(duì)經(jīng)理了解代碼質(zhì)量違規(guī)現(xiàn)象一再出現(xiàn)的原因。它還與開發(fā)團(tuán)隊(duì)使用的其他應(yīng)用程序集成，比如Slack和GitHub。

功能：

• 便于快速洞察。
• 富有洞察力的儀表板。

缺點(diǎn)：

• 復(fù)雜的配置設(shè)置。
• 大量誤報(bào)。

價(jià)格：https://www.codacy.com/pricing

7. Codebeat

Codebeat支持多種編程語言，在過去幾年一直在不斷完善。它不執(zhí)行任何安全檢查。

功能：

• 還可以對(duì)移動(dòng)應(yīng)用程序執(zhí)行檢查。
• 支持Swift和Objective-C進(jìn)行Apple開發(fā)。
• 可檢測(cè)代碼重復(fù)。

缺點(diǎn)：

• 缺乏安全檢查。
• 必須將定義添加到CI/CD配置。

價(jià)格：https://codebeat.co/pricing

8. LGTM

LGTM是一種簡(jiǎn)單、易于設(shè)置和維護(hù)的代碼質(zhì)量和安全分析工具，這款產(chǎn)品為開源項(xiàng)目提供了免費(fèi)版本，為大型組織提供了自托管的企業(yè)版，以此吸引開發(fā)人員。

功能：

• 檢測(cè)所貢獻(xiàn)的代碼中的零日漏洞。
• 與IDE和Git代碼庫很好地集成。
• 基于行業(yè)標(biāo)準(zhǔn)的警報(bào)以及注重實(shí)用的建議。

價(jià)格：為組織提供了開源自托管套餐，可免費(fèi)使用。

9.自托管或CI/CD

如果上述工具不適合您，不妨考慮創(chuàng)建自己的CI/CD管道，并構(gòu)建針對(duì)代碼庫定制的代碼質(zhì)量分析工具箱。

功能：

• 支持更多的代碼質(zhì)量標(biāo)準(zhǔn)。
• 可以更靈活地定制代碼質(zhì)量檢查。

缺點(diǎn)：

• 需要手動(dòng)配置、維護(hù)和更新。
• 價(jià)格：免費(fèi)

原文標(biāo)題：Comparing 9 Code Quality Tools，作者：Saif Sadiq

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】