写完代码最麻烦的是什么？就是运行时出现bug再回头去改去修，如果有一款检测工具，能自动检测出代码中是否存在bug是不是对开发者来说，更加方便吗？

　　ControlFlag

　　就是这样一款开源的代码bug检测工具，系出名门，由Intel实验室研发。Intel实验室给它的官方定义是自监督特殊模式检测系统，其工作原理就是通过从训练数据中学习一些典型的经典的表达式模式来判断并标记源代码之中异常的表达式。

　　训练数据则是来源于各种开源存储库，就像GitHub。

　　从上面这张图我们可以清楚的看到，ControlFlag的运行逻辑分为两部分。

　　1、挖掘阶段，就是在用户提供的GitHub存储库中挖掘典型模式，然后根据挖掘的模式构建决策树。2、扫描阶段，就是应用挖掘的模式来标记用户指定的目标存储库中的异常表达式。

　　简简单单清清楚楚。就像下载的源码一样，各司其职：

　　美中不足，似乎这款工具更多的是用来检测C语言的错误，是否能用来检测其他语言，TJ君还在测试用~

　　除了这款ControlFlag，TJ君今天还要给大家分享就是一款IDEA插件。

　　JAVA静态代码安全审计插件

　　在一段耐心的等待后下载成功（如果喜欢这个彩虹进度条的时候看这里：IDEA高颜值之最吸引小姐姐插件集合！让你成为人群中最靓的那个崽！）

　　这款插件使用原理是IDEA原生的Inspection机制检查项目，自动检查当前活跃窗口的活跃文件，并可以提供一键修复的功能，插件提供的规则名称均以"Momo"开头。

　　插件使用起来也很方便，既会在用户编码过程中自动扫描当前编辑的代码，并实时提醒安全风险；也可以提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描。

　　可以看下具体使用中的实例演示：

　　XXE漏洞发现与一键修复

　　Mybatis XML Mapper SQL注入漏洞发现与一键修复