Herramienta de análisis de código fuente estático de código abierto (orientada a la seguridad) para Java

Estoy buscando una herramienta de código fuente estático de código abierto de código abierto que se puede utilizar para las pruebas de seguridad de una aplicación de Android. Necesito asegurarme de que mi aplicación sea compatible con PCI.
Un ejemplo de una herramienta de código no abierto es Fortify.
¿Alguien puede ayudar a proporcionar una lista de software recomendado?

PMD y FindBugs son algunos de los mejores analizadores de código estático en los que he trabajado. Puedes probarlos. Puede agregar su propia regla y eliminar algunos de los existentes de ellos.

https://www.sparkred.com/blog/open-source-java-static-code-analyzers/

Hay tantas herramientas de código abierto para la herramienta de análisis de código fuente para Java como Dependometer, FindBugs, QJ-Pro, etc.
Para más detalles con las listas.
Otro enlace

  • Proteger la cadena constante contra la ingeniería inversa
  • ¿Es seguro almacenar nombre de usuario y contraseñas en un SQLite local db en Android?
  • Protección de bases de datos SQLite locales (aplicación Android)
  • Implementar seguridad a nivel de firma en los servicios de Android con más de una firma permitida
  • ¿Cómo almacenar módulo, exponente público y exponente privado de forma segura en Android?
  • ¿Hay alguna forma de comprobar si la firma de una aplicación está depurada o publicada?
  • Construcción de BoringSSL y Conscrypt y agrupación con Android apk
  • Secretos de OAuth en aplicaciones para móviles
  • Esquema de autenticación para una aplicación de Android: cuando la tarjeta SIM está bloqueada o cambiada por otra, la aplicación deja de funcionar
  • RSA PKCS1-OAEP padding es compatible con bouncycastle?
  • ¿Cómo puedo cero-ise una clave secreta en java?
  • FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.