做什么会用到
- 01做自己项目的代码质量检查:ESLint、SonarQube、CodeQL 都是静态分析
- 02做安全扫描:上线前扫一遍代码有没有硬编码密钥、SQL 拼接、XSS 隐患
- 03分析闭源 App/样本:没源码就反编译(jadx、IDA),属于静态分析
- 04做开源项目发布:GitHub Actions 跑 CodeQL,自动扫出漏洞给你提 PR
- 05做纯前端一次性工具:可以不做专门静态扫描,但 Prettier + ESLint 至少配上
想用它怎么问 AI
“我的【XXX 项目,语言是 XXX】要上线,请推荐 3 个免费的静态安全扫描工具、怎么接入 GitHub Actions、以及如何处理扫出来的误报。”
打个比方
像不开车,只看车的设计图和零件,就判断这车安不安全。