代码增量静态分析工具？

Question

是否有任何免费的工具可以对代码进行增量静态分析（对于SVN，最好是Git）？目前我们正在使用Sonar（2.12我认为？），但问题是需要分析我们项目中40-60分钟的所有代码。由于我们有几个分支在不同的子项目上工作，因此我们需要将其扩大。

这就是为什么我正在寻找一种工具，可以分析仅来自最新提交（这对我的知识Sonar不支持）代码，或者只有最后X小时/天/随你。

我已经找到了截止插件声纳，这理应做什么，我想（只检查从已经在某个日期之后被修改的文件中的代码），但：

1. 我还需要检查它的工作原理
2. 检查它是否支持动态日期更改（所以它只会考虑代码从最后一天，而不是我必须每天手动更改排除日期）。
3. 它似乎并没有得到很好的支持（最后的改变在2010年，它仍然是0.1版本）

这将是完美的，如果只检查从上次的代码提交，但还没在任何地方都看不到。

另外作为一个侧面的问题：在每次提交后（即使用哈德森声纳插件）运行分析是好事还是应该避免？在我的最后一支团队中，我们的声呐就是这样运行的，如果我们“破坏了它”（添加了一个主要/关键代码），我们会收到即时电子邮件。这很方便，因为我们知道谁是错误的（基于提交的信息）。或者我们应该减少分析它（每周可以说一次）？在这种情况下，我将不得不检查Sonar是否能够说出谁犯了有问题的代码。

Answer 1

有很少，特别是因为许多工具/规则依赖走可能的堆栈来限制误报的数量。因此，一个程序集中的更改也需要对调用程序集进行重新评估，这不像从外部看起来那么简单。

要加速静态分析，请考虑投资内存磁盘或SSD以存储源和二进制文件。使用多核机器，有足够的内存并尽可能运行这些工具的x64版本。这些工具中的很多都是第一个I/O，然后是CPU限制。通过减少系统的延迟和吞吐量以及所需的交换量（通过拥有足够的内存）来进一步减少I/O，可以找到大部分改进。

您还可以使用伙伴构建/验证搁置集在构建服务器上构建，以将构建时间卸载到可在开发人员之间共享的其他计算机。

Answer 2

也有这样的工具进行静态分析：

1. PMD
2. Checkstyle
3. FindBugs

高的机会，你会发现在它的声纳有用的替代。

您没有提及是否使用Continuous Integration工具。可能你会需要它运行，以便使用这些工具运行检查。

Answer 3

我意识到我迟到了，但还有另一种工具，可能与您无关：Teamscale

Teamscale连接到你的资料库（例如的Git或SVN），并逐步分析你的代码，之后每次提交。有了这些，您几乎可以立即获得有关新/固定代码问题的反馈。您还可以查看代码的完整历史记录，黑名单误报等等。 （完全披露：我是一个Teamscale开发人员）