FindBugs 是由马里兰大学提供的一款开源Java静态代码分析工具。FindBugs通过检查类文件或JAR文件,将字节码与一组缺陷模式进行对比从而发现代码缺陷,完成静态代码分析。FindBugs既提供可视化 UI 界面,同时也可以作为 Eclipse插件使用。文本将主要使用将 FindBugs作为 Eclipse插件。在安装成功后会在 eclipse中增加 FindBugs perspective,用户可以对指定 Java类或 JAR文件运行 FindBugs,此时 FindBugs会遍历指定文件,进行静态代码分析。
一、安装步骤
1、点击“Help->InstallNew Software”,如下图:
2、在Work with填入“ http://findbugs.cs.umd.edu/eclipse”,并回车,如下图
3、选择对应的插件,然后点击“next->next->finish”
4、等待下载和安装,完成安装之后重启eclipse,右击项目文件或目录,会发现多了Findbugs的菜单,如下图:
这样,Findbugs就安装完毕了,当然也可以直接下载压缩包,解压到eclipse的方式安装,但由于eclipse的版本较多,建议先使用以上方法联网安装。
二、简单使用
1、在项目或目录上右键点击“Findbugs”,如上图
2、待Findbugs分析完毕后,项目上可以看到被检测出的Bug数量,可明确到具体发现Bug的文件
3、也可以点击“Window-->Open Perspective-->other”,并选择FindBugs视图
4、在FindBugs视图下,项目组中的Bug将以级别分组,依次是 Scariest、Scary、Troubling、Of Concern,级别依次降低
每个级别下有分为 High confidence 和 Normal confidence,即在当前级别下概率较大的Bug和概率较小的Bug
再下一次就是具体的Bug规则,每个规则下可能检测出项目中的多处代码漏洞
如上图,检测出的就是Scariest级别,High confidence高概率的、一个属于Suspicious reference comparison(可疑引用比较)的Bug
在右下角的Bug Info处可以看到当前Bug的具体信息,以及Bug规则描述
修改Bug后可以重新扫描是否修改成功
一、安装步骤
1、点击“Help->InstallNew Software”,如下图:
2、在Work with填入“ http://findbugs.cs.umd.edu/eclipse”,并回车,如下图
3、选择对应的插件,然后点击“next->next->finish”
4、等待下载和安装,完成安装之后重启eclipse,右击项目文件或目录,会发现多了Findbugs的菜单,如下图:
这样,Findbugs就安装完毕了,当然也可以直接下载压缩包,解压到eclipse的方式安装,但由于eclipse的版本较多,建议先使用以上方法联网安装。
二、简单使用
1、在项目或目录上右键点击“Findbugs”,如上图
2、待Findbugs分析完毕后,项目上可以看到被检测出的Bug数量,可明确到具体发现Bug的文件
3、也可以点击“Window-->Open Perspective-->other”,并选择FindBugs视图
4、在FindBugs视图下,项目组中的Bug将以级别分组,依次是 Scariest、Scary、Troubling、Of Concern,级别依次降低
每个级别下有分为 High confidence 和 Normal confidence,即在当前级别下概率较大的Bug和概率较小的Bug
再下一次就是具体的Bug规则,每个规则下可能检测出项目中的多处代码漏洞
如上图,检测出的就是Scariest级别,High confidence高概率的、一个属于Suspicious reference comparison(可疑引用比较)的Bug
在右下角的Bug Info处可以看到当前Bug的具体信息,以及Bug规则描述
修改Bug后可以重新扫描是否修改成功