C＃/ .NETコード用の無料の静的分析ツールはありますか

Question

最近、クライアントからC＃コードのコードレビューを実行するように依頼されました。独立した請負業者として、私は同様の割り当てを実行するために銀行を破る必要のない、自動化されたソリューションはどこにあるのだろうと考えていました。

これまでのところ、O2プラットフォームに遭遇しましたが、ドキュメントは至る所にあります。 MicrosoftのFxCopは私が見つけた別のツールですが、それらのレポートはひどいものであり、出力を読み取ろうとして髪の毛を抜かなくても手動で検査を実行するために使用できるレポートが欲しいものです。

品質スキャン、独立した請負業者向けの無料/比較的低価格、優れたレポートの観点から、コードレビューを実行するためにどのような推奨事項がありますか？

Rory McCune · Answer

一般的に、SASTツールは、オンサイトでホストされているソリューションやc＃にはかなり高価になる傾向があります。

見ることができる1つのオプションは、いくつかのツールベンダーが行うオンデマンドスタイルのスキャンです。これは、スキャンの数が少ないほど安価である可能性が高く、コストに織り込むことができるものでもあります。あなたの評価の。

いくつかのオプション

Alex Lauerman · Answer

~~Roslyn Security Guardが利用可能になり、無料です。 https://dotnet-security-guard.github.io/~~

更新：このプロジェクトは維持されなくなり、ここで分岐され、ここで改善されました： https://github.com/security-code-scan/security-code-scan 。

ちなみに、Tools > Options -> Text Editor -> C# -> Advanced -> "Enable full solution analysis"を選択して、コードベース全体で有効にしてください。

fixulate · Answer

MicrosoftのCAT.NETをご覧ください。

これは、さまざまな言語で静的分析を行うビジュアルスタジオ用のスナップインです。