检测硬编码密码

我一直在尝试检测源代码文件中的硬编码密码.

目前,我正在检查变量赋值和比较标识符,其子字符串与password,pswd匹配.

但它导致了许多误报,例如在这种情况下(从配置文件中读取密码)

String PASSWORD_KEY = "server.password";
String password = prop.getProperty(PASSWORD_KEY);

我可以标出一些子字符串,如Key,location,path,我可以跳过错误生成但除此之外,我想不出更好的方法.

所有建议表示赞赏.