Si bien siempre he sido un firme partidario de las aplicaciones gratuitas y de código abierto, es difícil revisar manualmente el código de cada aplicación y, a menudo, espero con ansias las herramientas de revisión de código.
Estas herramientas lo ayudan a detectar rápidamente malos hábitos de programación, cambios clave en las características de un componente, componentes de alto riesgo, errores de seguridad, etc. Además, estas herramientas suelen ser indicadores basados en GUI que facilitan la comprensión sin experiencia en dicho lenguaje de programación. . Dicho esto, no todas las aplicaciones de revisión de código son iguales. Entonces, aquí están las mejores herramientas de revisión de código tanto para individuos como para empresas.
Las mejores herramientas de revisión de código
1. Gerrita
Gerrit es una herramienta de revisión de código basada en la web desarrollada por Google y requiere un servidor JDK para ejecutarse. Funciona en sincronización con GitHub. Entonces, antes de enviar el código a producción, pasa por Gerrit, donde sus compañeros pueden revisar el código. Gerrit admite impulsar un proyecto a través de comandos git usando SSH o HTTPS. Por ejemplo, desea cargar su proyecto a Gerrit para su revisión. Puede usar ssh en su servidor Gerrit y usar «git push» para cargar sus repositorios en Gerrit.
Gerrit también ofrece un conjunto de complementos como CodeMirror, Phabriactor para vincular con otras herramientas de revisión de código y obtener funcionalidades adicionales.
Visión general:
- Se integra bien con GitHub
- Funciona con servidores SSH y HTTPs habilitados para git
- Soporta lenguajes limitados como C, C++,
Descargar Gerrit
2. Código Rhode
RhodeCode es otra herramienta de revisión de código de pares como Gerrit que funciona en sincronización con GitHub. Sin embargo, también se integra bien con Mercurial y Subversion. En comparación con Gerrit, proporciona una interfaz mucho más rica e intuitiva. Puede comentar en línea y realizar cambios con el código a través de la propia interfaz web de RhodeCode. A diferencia de las extensiones de Gerrit, RhodeCode proporciona una API JSON-RPC para que pueda crear herramientas de terceros usándola. Mi función favorita es el registro de cambios visual que proporciona una vista panorámica de los cambios de desarrollo y ayuda a realizar un seguimiento.
Además de esto, también tiene funciones de seguridad como notificaciones de reglas de repositorio. Informa al administrador sobre actividades sospechosas en el repositorio. También puede limitar el acceso del repositorio a ciertos rangos de IP.
Visión general:
- Herramienta de revisión de código de pares
- Editor en línea dentro de la interfaz web de RhodeCode
- Opciones de seguridad para auditoría, ACL, filtrado de IP, etc.
Descargar RhodeCode
3. Encuentra errores de seguridad
Find Security Bugs, al contrario del nombre, es un complemento para encontrar todo tipo de errores en su código. Puede detectar malas prácticas de código, corrección, cuellos de botella en el rendimiento, errores de seguridad, código dudoso, corrección de subprocesos múltiples, etc. El complemento funciona en sincronización con el repositorio de Maven Central. Sin embargo, si usa un IDE. Se puede usar localmente junto con Netbeans, Eclipse, IntelliJ, Jenkins y Sonar Qube. Por ejemplo, estaba usando Eclipse. En el mercado de Eclipse, está disponible con el nombre «SpotBugs». Entonces, el proceso de instalación fue bastante fácil y directo.
La única advertencia con Spotbugs es que solo funciona con código Java y aplicaciones Java EE.
Idiomas admitidos: Java, Java EE
Visión general:
-
- Funciona en sincronización con el repositorio central de Maven
- Complemento para Eclipse, Jenkins, Netbeans, etc.
Descargar Buscar errores de seguridad
4. BuscarDiggity
SearchDiggity es un proyecto que fusiona herramientas de piratería populares como GoogleDiggity, BingDiggity, SHODAN Diggity, FlashDiggity, etc. Es principalmente una herramienta para verificar la seguridad de su aplicación web o servidor de aplicaciones. Utiliza el motor de búsqueda Google, Bing y SHODAN para atacar e infiltrarse en su sitio web o servidor. Utiliza una combinación de expresiones regulares en consultas de búsqueda para filtrar datos. Por ejemplo, SearchDiggity puede verificar si sus claves de AWS están almacenadas en texto sin formato o si el inicio de sesión de su sitio web es propenso a la inyección de SQL.
Es imprescindible si su servidor web maneja una gran cantidad de tráfico web y aloja una gran cantidad de datos.
En caso de que obtenga el error «Google Bot Detected, paused scan for 15 mins», puede cambiar SearchDiggity para usar el API pagadas oficiales proporcionada por Google, Bing y SHODAN en Ayuda>Contenido.
Visión general:
- Capacidad para comprobar la inyección de SQL, puertos vulnerables en su servidor web
- Funciona con el motor de búsqueda Google, Bing y SHODAN
- Herramienta solo para Windows
Descargar BuscarDiggity
5. fabricante
Phabricator es un conjunto de herramientas gratuitas de revisión de código web. Es una aplicación LAMP (Linux, Apache, MySQL, PHP) escrita en PHP y es más una herramienta de auditoría y colaboración como GitHub.
Puede probar Phabricator antes de instalarlo en su servidor LAMP. Tiene una instancia web alojada llamada Facilidad. Puede sincronizar sus repositorios de código de GitHub o SVN con esta instancia directamente. La herramienta más importante en Phabricator es Diferencial. Funciona de forma similar a las confirmaciones de GitHub. Una vez que se envía un cambio, notifica a todos los usuarios que revisen el cambio. Presenta un resumen completo de los cambios y el código. Después de la aprobación, el cambio se aprueba y se puede enviar a producción.
Idiomas admitidos: N / A
Visión general:
- servidor LÁMPARA
- Colaboración y revisión de cambios en el código con otros usuarios.
- Auditoría de las acciones del usuario en el servidor web
- No funciona en una máquina con Windows
6. Inspector de aplicaciones de MS
Microsoft lanzó recientemente su herramienta de revisión de código llamada inspector de aplicaciones. Según Microsoft, esta herramienta se creó para analizar el software de código abierto y lo que el código, las bibliotecas realizan en pocas palabras. Para utilizar Application Inspector, debe instalar el paquete «dotnet-sdk». Produce el informe en un archivo HTML. Lo probé en la aplicación de correo de Nylas y el resumen del informe es bastante conciso.
La presentación está bien dividida y clasifica las características del software, los protocolos utilizados, las API llamadas, etc. Por ejemplo, en términos de almacenamiento de datos, Nylas mail utiliza SQL y un poco de NoSQL para los servicios de mensajería en la nube de PubSub. Solo tengo que hacer clic en el botón Almacenamiento de datos y «Ver» junto a Detalles. Le mostrará las reglas asociadas a la derecha y al hacer clic en él, obtendrá la revisión del código en la ventana emergente. Es bastante fácil y rápido saltar y revisar el código.
Idiomas admitidos: C, C++, C#, Java, JavaScript, HTML, Python, Objective-C, Go, Ruby, PowerShell, (API) AWS, Azure.
Visión general:
- Informe conciso, fácil de vincular y código de revisión
- Admite varios idiomas
Descargar Inspector de aplicaciones de MS
Palabras de cierre
Uso Microsoft Application Inspector debido al enfoque de ejecutar y disparar de la aplicación. Es compatible con una amplia gama de idiomas y proporciona una idea bastante buena sobre el código. En caso de que tengas tu propio servidor web dedicado, Gerrit o Phabricator es una buena alternativa para GitHub. Para más problemas o consultas, hágamelo saber en los comentarios a continuación.
Lea también: Las 7 mejores placas de desarrollo para hacer su primer proyecto de bricolaje