iOS 静态代码扫描

最新推荐文章于 2024-03-12 11:11:40 发布
最新推荐文章于 2024-03-12 11:11:40 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 金阳光测试

iOS 静态代码扫描(facebook 出品 infer)

前阵子 facebook开源了其静态代码扫描工具,该工具通吃 JAVA\Android\iOS,不仅可以检查 Android 和 Java 代码中的 NullPointException 和 资源泄露,也可以发现 iOS 和 C 代码中的内存泄露问题。据介绍,它能像人类一样查看代码,并作出一些推测。但它的优势是,数分钟就能看完上千行代码。Facebook已经用它修复了八成的漏洞。Infer能将代码分解,小范围分析后再将结果整合在一起,兼顾分析的深度和速度。

谁在使用 Infer? 
Infer 已经成为 Facebook 开发流程的一个环节,包括 Facebook Android 和 iOS 主客户端,Facebook Messenger, Instagram 在内的,以及其他影响亿万用户的手机应用,每次代码变更,都要经过 Infer 的检测。

本文介绍一下在MacOS X环境下安装 Infer 和如何在实际项目中应用这款静态扫描工具。

下载地址: 
https://github.com/facebook/infer

1. 前置条件

  • 安装 python 2.7 
    由于 MAC自带,此处不再赘述。
  • 安装 opam
brew install opam # Homebrew, OSX Mavericks or later

下载 opam

  • XCode <= 6.3, >= 6.1
  • clang (在XCode命令行工具中。 可通过以下命令安装 xcode-select --install)

2.安装指南

下载 infer

git clone https://github.com/facebook/infer.git

安装 OCaml :

opam init --comp=4.01.0  # (answer 'y' to the question)
eval `opam config env`
opam install sawja.1.5 atdgen.1.5.0 javalib.2.3 extlib.1.5.4

支持 JAVA\OC静态分析

cd infer #进入 infer的安装路径

./update-fcp.sh && ../facebook-clang-plugin/clang/setup.sh && ./compile-fcp.sh # 稍等片刻,喝杯咖啡吧 :)

make -C infer
export PATH=`pwd`/infer/bin:$PATH

3.例子

..infer-master/example下的示例来演示下如何使用 Infer进行静态代码扫描。 
infer 下的 示例程序

  • 单独检查某个文件时(Hello.m):
infer -- clang -c Hello.m
  • 检查完整项目时(ios_hello):
infer -- xcodebuild -target HelloWorldApp -configuration Debug -sdk iphonesimulator

注意: 
只有将 infer设置为PATH环境变量时才可以直接执行上述命令,否则就需要在命令中指定 infer的安装路径,例如:

../infer/bin/infer -- clang -c Hello.m

Hello.m的源码如下:

#import <Foundation/Foundation.h>

@interface Hello: NSObject
@property NSString* s;
@end

@implementation Hello
NSString* m() {
    Hello* hello = nil;
    return hello->_s;
}
@end

通过静态扫描,我们可以看到其中有一处需要修改: 
Hello.m静态扫描结果
NSString 类型的变量 s 没有指定assign\retain\copy属性。

4.项目应用实战

下面以真实项目为例,介绍使用 infer的分析过程。 
首先,cd命令进入到项目所在路径,该路径下有项目启动文件XXX.xcodeproj,命令行中执行以下命令:

infer -- xcodebuild -target `XXX` -configuration Debug -sdk iphonesimulator

编译结束后,终端会显示静态扫描的结果: 
项目实战扫描结果

我们可以通过查看 warning,判断哪些代码需要优化。

5. 进阶

5.1 Top-level 命令

infer : 执行 Infer的主命令,用python写的脚本文件。 
inferTest : 执行 infer tests 的 shell 脚本。通过 Buck执行测试。 
inferTraceBugs : 在 infer 报告中聚类错误日志的 python脚本。

5.2 辅助命令

下面的这些在 infer/bin路径下的命令不是直接调用的,但是是被 上文的top-level命令所调用。

InferJava : 包含 java前端的二进制文件。

InferClang : 包含 clang前端的二进制文件。

InferAnalyze : 执行分析的 infer后端二进制文件。

InferPrint : 打印关于方法和 Bug 列表的分析报告的二进制文件。

inferJ : 执行分析 java文件的命令。

BuckAnalyze : 执行分析用 buck编译的 java项目的命令。

inferlib.py : 为其他脚本提供支持的python库。

utils.py : 为其他脚本提供支持的python库。

jwlib.py : 为其他脚本提供支持的python库。

金阳光老师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iOS APP crash隐患静态代码扫描工具—godeyes
08-19
工具详情请访问 http://godeyes.duapp.com/
iOS开发之使用 infer静态代码扫描工具
08-01 1226
  infer是Facebook的Infer是一个静态分析工具。可以分析Objective-C,Java或者C代码,报告潜在的问题。   任何人都可以使用 infer 检测应用,可以将严重的 bug 扼杀在发布之前,同时防止应用崩溃和性能低下。      infer 可以检查 Java 和 Android 中的 NullPointException 和资源泄漏。 ...
Android和iOS静态代码扫描工具
哆啦安全
11-17 735
Android和iOS静态代码扫描工具(哆啦安全、知识星球)
持续集成(CICD)-- sonar代码审查(静态扫描
最新发布
qq_45004869的博客
03-12 429
sonar-scanner.bat/sonar-scanner.sh的绝对路径> -D"sonar.projectKey=<扫描项目名(自定义)>" -D"sonar.host.url=<Sonar的服务地址>" -D"sonar.login=<Sonar的服务用户名>" -D"sonar.password=<Sonar的服务密码>":进入到【开发项目】—>构建—>Execute SonarQube Scanner 【注意构建的顺序:比如部署构建的代码要在扫描之后】下载完成之后是一个压缩文件,解压之后;
iOS开发:几种静态扫描工具的使用与对比
麦峰强的博客
08-10 4078
市面上几种主流方案对比 名称 来源 功能特点 检查SQL 注入 检查 NullPointException 支持IDE情况 Clang Static Analyzer Apple XCode 自带工具 未测试 是 XCode OCLint oclint.org 建立在 Clang 上的工具 未测试 未测试...
Jenkins+OCLINT+SONAR+搭建IOS静态代码扫描平台
freflying1119的博客
12-07 899
@[TOC]Jenkins+OCLINT+SONAR搭建IOS静态代码扫描平台 Jenkins+OCLINT+SONAR+sonar-objective-c-plugin搭建IOS静态代码扫描平台 本文记录了我搭建公司IOS静态代码扫描环境的操作过程,差不多一步一坑吧,但好歹是成功运行了。 环境说明 Jenkins 2.176.3 oclint 0.13 SONARqube:6.2 sonar-objective-c-plugin: 0.6.3 找到跟自己soanrqube版本匹配的objc插件,真是个苦差
使用OClint进行iOS项目的静态代码扫描
Jason的秘密花园
10-09 1427
对于iOS开发,我们的日常开发上已经用到了这样一个静态分析的工具,那就是 Clang, Clang 是支持 C、C++、Objective-C 和 Swift 的一个前端编译工具,他将 OC 或者 Swift 的代码输出抽象语法树(Abstract Syntax Tree),然后编译成 LLVM 的 bitcode,最后由 LLVM 编译成 machine code。这个工具支撑着我们日常的
iOS静态检测API详细设计1
08-08
true启用 false禁用Function类名Function功能SecRule里面用到的API的数据结构FuncType (boolean)API类型:分为
iOS360全景代码
10-21
ios 360全景代码 可用模仿代码做成自己的demo,实时监控周围环境
SonarQube iOS插件,支持Objective-C和Swift,支持推断(SonarQube iOS代码扫描插件,支持Objective-C和Swift,支持推断结果导入),基于https:github.comIdeansonar-swift
02-04
静态代码扫描是一种检测项目代码的方式,能够在不运行代码的情况下对代码进行扫描,可以扫描代码的Bug(例如空指针),破坏,坏味道(例如方法内部代码行数量过多)等,另外可以检测仓库的代码重复率,注释率,...
一个Java,Object-C的静态检测工具,可帮助Android,IOS开发者检测一些潜在的bug及资源泄漏问题.zip
10-11
一个Java,Object-C的静态检测工具,可帮助Android,IOS开发者检测一些潜在的bug及资源泄漏问题.zip,A static analyzer for Java, C, C++, and Objective-C
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
01-21
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
Xcode搜索代码中重复名字的文件
10-16
XCODE代码去重复文件,运行代码后找大文件并删除。 查找之后会有个别问题,慎重
iOS项目的静态代码扫描之OClint使用
程序鹅
08-01 1053
上文介绍了如何安装OClint,这次简单介绍下如何使用OClint。 先确定要扫描的项目(本文使用了一个很久很久用来学习的demo)
【腾讯TMQ】iOS静态代码扫描之工具调研
TMQ1225的博客
08-17 3015
为了进一步加强测试质量,同时探索测试左移在同步中的实践,iOS同步助手尝试接入静态代码扫描工具。希望通过不同的途径提前发现日常测试中难发现的问题。然而iOS静态代码扫描工具有不少,它们都有什么不同?我应该选哪一个?因此,本文主要针对主流的几个工具,对同步助手的代码进行扫描,并分析对比它们的扫描结果,再敲定后续的接入计划。该文章从以下几部分进行阐述,可按需阅读:一、工具介绍二、遇到的坑点三、扫描能力对
用OCLint给iOS代码静态分析
热门推荐
晓月的专栏
03-07 1万+
iOS代码代码静态分析的工具有OCLint, 这篇帖子说的就是如何使用这个工具. 转载请注明出处,晓月的博客:(http://blog.csdn.net/uxyheaven/article/details/50818107) 什么是OCLint 最好的介绍当然首选官方文档, 以下的说明摘选自官方文档:OCLint是一个代码静态分析描工具
Obj-c代码静态扫描 ios代码静态扫描的问题
justinjing的专栏
09-12 2987
静态解析程序 静态解析是指不用执行程序,而是从程序的代码构成来分析错误和预测问题。比如Java中的FindBugs,C++中的prefast等。通过这些工具可以一定程度的减少程序中的错误数量。 一般静态解析,分析以下几类问题: 代码形式,名称是否违规 警告容易出错的代码 警告程序运行时可能出现问题的代码 比如容易引起内存泄漏的代码,会被其检测出,提示你修正。
OC静态代码检查实战
weixin_33994429的博客
10-30 216
此文已由作者杨晓授权网易云社区发布。欢迎访问网易云社区,了解更多网易技术产品运营经验。在Mac OS系统上,采用Xcodebuild Analyze命令和OClint工具,对iOS项目进行静态代码检查,输出可视化结果。然后将项目持续集成至CI平台,并使用PMD插件进行错误统计的展示。对此,本文由以下4个要点来阐述。背景Xcodebuild命令行指令oclint工具获取可视化结果持续集成1.背景AR...
ios 静态代码扫描oclint
01-09
ios静态代码扫描是指利用oclint这样的工具对iOS应用开发中的Objective-C代码进行静态分析和扫描。oclint是一个开源的静态代码分析工具,它可以帮助开发人员发现代码中的潜在问题,提高代码质量和可维护性。 通过oclint进行iOS静态代码扫描,可以发现代码中的潜在bug、不规范的编码风格、重复的代码、性能问题等。这有助于开发人员及早发现并修复代码中的问题,避免这些问题在后续的开发和测试中导致更严重的后果。同时,静态代码扫描还可以帮助团队统一编码规范,提高团队协作效率。 在使用oclint进行iOS静态代码扫描时,可以根据项目需求配置不同的规则集合,指定需要扫描的文件和目录,生成扫描报告,并在持续集成环境中集成以实现自动化代码检查。通过持续的静态代码扫描,开发人员可以更好地了解项目中的代码质量和缺陷,及时进行改进和优化。 总之,ios静态代码扫描oclint是一个非常有用的工具,它能够帮助开发人员改善代码质量、提高开发效率,对于保证iOS应用的稳定性和可靠性起到了重要的作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值