Java的静态分析工具推荐？

• Findbugs：用于静态分析Java代码中潜在的bug和错误。
• PMD：静态规则检查器，用于查找和报告Java源代码中的常见问题。
• Checkstyle：用于强制执行编码规范和标准的工具。
• Lint4J：另一个可用于发现Java源代码中潜在问题的静态检查器。
• Classycle：分析Java类依赖项的工具。
• JDepend：用于分析Java包之间的依赖关系的工具。
• SISSy：标识软件系统中的关键组件并测量其稳定性和扩展性的工具。
• Google Codepro：一套用于优化Java应用程序性能、质量和可维护性的Eclipse插件。

FindBugs、PMD和Checkstyle都是很好的选择，特别是如果你将它们集成到你的构建流程中。

在我上一个公司，我们还使用Fortify来检查潜在的安全问题。我们很幸运拥有企业许可证，所以我不知道涉及的费用。

我推荐使用FindBugs工具。 http://findbugs.sourceforge.net/ 有助于代码审查。

JetBrains的IntelliJ IDEA。在.Net社区中，他们还开发了ReSharper。

Sonar是一种质量控制工具，通过遵守编码规则、度量指标和高级指标来衡量Java应用程序的质量。

Sonar基于以下项目：

• JavaNCSS：质量指标

• Checkstyle：样式检查

• PMD：潜在错误的代码扫描。

• Cobertura：测试覆盖率

您还可以使用Simian进行重复检测。

CRAP4J 不仅是一个很棒的名字，而且非常有用。其他好的工具都在上面了，最好的（依我之见）是 FindBugs，因为它确实可以立即在大型代码库中找到真正的漏洞。

JavaDepend还提供了许多交互式视图，用于了解现有的代码库以及超过82个度量标准。

有几个提供Java解决方案的商业供应商：

Klocwork Coverity

它们不会“修复”它们发现的问题（我相信上面提到的其他工具也不会），但这些都是具有不同优势的工具。

以上所有工具都非常好用。PMD可能是最常用的。

另一个工具是Enerjy。它最近变成了免费的，所以你可以下载并尝试一下。Enerjy更加有条理，更适合大型团队使用。它使得自定义和共享规则更加容易。个人而言，我不是很喜欢，但也许你会比我更喜欢。