代码扫描

SonarQube： 是一个老牌 java 生态里用的比较多的静态代码检查工具。静态分析：一般用于 CI 的阶段，在开发将代码push到仓库里的时候，进行扫描，帮助发现一些漏洞，如 jwt token泄漏，或者程序的bug等

TFSec: 扫描 terraform 的代码的漏洞

Open policy agent: 支持k8s 部署文件的检测 https://www.openpolicyagent.org/docs/latest/

cloud custodian https://cloudcustodian.io/getting-started/

mypy: python环境的静态分析检查工具

mypy --ignore-missing-imports main.py