VCG é uma ferramenta automatizada de revisão de segurança de código para C++, C#, VB, PHP, Java e PL/SQL, que tem como objetivo acelerar drasticamente o processo de revisão de código ao identificar código ruim/inseguro. Ela possui alguns recursos que devem torná-la útil. Além de realizar algumas verificações mais complexas, também possui um arquivo de configuração para cada linguagem que basicamente permite adicionar quaisquer funções ruins (ou outro texto) que você deseja procurar. Ela tenta encontrar frases dentro de comentários que podem indicar código quebrado e fornece estatísticas e um gráfico de pizza (para toda a base de código e para arquivos individuais) mostrando proporções relativas de código, espaços em branco, comentários, 'comentários de estilo' e código ruim.