PHP代码审计比较推荐RIPS，是一款自动化代码审计工具，下载链接：https://sourceforge.net/projects/rips-scanner/

seay源代码审计系统 可用自动筛选问题代码，不过存在误报

推荐 fortify SCA 审计JAVA项目特别好用

1、PHP代码审计用 RIPS   https://sourceforge.net/projects/rips-scanner/

2、JAVA代码审计用 findbugs  http://findbugs.sourceforge.net/downloads.html https://www.jianshu.com/p/c43940c4e025

3、 .net https://security-code-scan.github.io/

4、多种语言代码检查工具   sonar：  https://docs.sonarqube.org/display/SONAR

https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#Vulnerability_Detection

https://github.com/SonarSource/sonarqub  

5、fortify 这个也是很好用的

昆仑镜 一个完全开源的静态白盒扫描工具，支持PHP、JavaScript的语义扫描，基础安全、组件安全扫描，Chrome Ext\Solidity的基础扫描。