简介

VisualCodeGrepper是一个免费、开源的源代码审查工具，貌似只支持Windows系统；不过支持多种语言，支持以下编程语言：

• C/C++
• Java
• PL/SQL
• C#
• VB
• PHP
• COBOL

官方地址：

1. VisualCodeGrepper V2.2.0 download | SourceForge.net
2. nccgroup/VCG: VisualCodeGrepper – Code security scanning tool. (github.com)

下载安装

1. 从SourceForce或Github下载安装VCG
2. 下几份不同语言的源码，我试了试两个项目的源码：
   • redis
   • wordpress

扫描审计源码

1. 添加目标源码文件夹路径

2. 扫描分析代码

3. 查看结果

4. 导出结果

可以导出csv，xml文件；用其他分析工具做进一步的统计分析

参考资料

1. VisualCodeGrepper Tool: Best C# – Asp.Net Source Code Review Tool | The Dark Source
2. C/C++代码静态分析工具调研 – LiuYanYGZ – 博客园 (cnblogs.com)
3. Top 10 Static Code Analysis Tool | Best Static Code Analysis Tools List – scmGalaxy