静态代码扫描——FindBugs自定义规则入门

最新推荐文章于 2024-08-13 06:00:00 发布
最新推荐文章于 2024-08-13 06:00:00 发布
阅读量8.7k 收藏 5
点赞数
分类专栏: 技术积累 文章标签: Findbugs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oggboy/article/details/51840279
版权
本文介绍了如何自定义FindBugs规则,包括明确规则、分析字节码、编写探测器和添加到规则文件中。以禁止使用System.out为例,详细阐述了每个步骤,并提供了配置文件示例。
摘要由CSDN通过智能技术生成

阅读本文前,建议先了解一下FindBugs的介绍和使用方法

准备工作

由于FindBugs是分析编译后的class文件,也就是字节码文件。我们需要了解FindBugs底层的处理机制。根据FindBugs官网文档描述,FindBugs使用了BCEL来分析Java字节码文件。从1.1版本开始,FindBugs也支持使用ASM字节码框架来编写bug探测器。
我们需要下载FindBugs源码版用来新增自定义探测器:findbugs-3.0.1-source.zip
也需要下载FindBugs标准版,将findbugs.jar替换为我们的自定义版本后,运行查看结果。

自定义规则

自定义规则思路:
1. 明确要定义的规则。
2. 分析样例代码的字节码内容。
3. 编写探测器。
4. 将规则加入规则文件中。

1. 明确要定义的规则

我将以一个非常简单的规则举例:代码中避免使用有类似System.out的输出语句。

package main;

public class TestFindBugs {
   
    public static void main(String[] args) {
        System.out.println("123"); //bug
        System.err.println("123"); //bug
    }
}

2. 分析样例代码的字节码内容

为了更方便的分析样例代码的字节码内容,这里推荐一个Eclipse上用来查看java文件字节码内容的插件:
Bytecode Outline
官网地址:http://andrei.gmxhome.de/bytecode/index.html
在安装完成后,通过Bytecode工具编译后的字节码文件内容:

// class version 51.0 (51)
// access flags 0x21
public class main/TestFindBugs {
最低0.47元/天 解锁文章
oggboy
关注
专栏目录
findbugs自定义检查器
franklies的专栏
09-28 1767
用检查代码中是否存在System.out为例。 package edu.umd.cs.findbugs.detect; import org.apache.bcel.classfile.Code; import edu.umd.cs.findbugs.BugInstanc
java自定义findbugs规则_静态代码扫描 (三)——FindBugs 自定义规则入门
weixin_42099530的博客
02-17 800
准备工作由于 FindBugs 是分析编译后的 class 文件,也就是字节码文件。我们需要了解 FindBugs 底层的处理机制。根据FindBugs 官网文档描述,FindBugs 使用了BCEL来分析 Java 字节码文件。从 1.1 版本开始,FindBugs 也支持使用ASM字节码框架来编写 bug 探测器。我们需要下载 FindBugs 源码版用来新增自定义探测器:findbugs-3...
9 个最佳 Java 静态代码分析工具
最新发布
欢迎拜读我的作品,喜欢的领域请给我留言
08-13 1863
使用顶级 Java 静态代码分析工具列表来提高您的代码质量 - 确保您的代码干净、高效且无错误。开发人员如何防止频繁出现应用程序故障?自动化分析可能是答案。Java 静态代码分析工具有助于检测任何问题或,并通过自动化代码审查流程来帮助提高我们将探索一些市场上最好的工具,这些工具可以增强工作流程并创建更强大的代码。什么是静态代码分析?静态代码分析是一种无需执行源代码即可对其进行检查的技术。通过根据编码规则分析代码集,这种高级静态分析工具可以读取代码中的错误并确保其符合标准和最佳实践。
java自定义findbugs规则_FindBugs规则整理
weixin_33525298的博客
02-17 1390
FindBugs是基于Bug Patterns概念,查找javabytecode(.class文件)中的潜在bug,主要检查bytecode中的bug patterns,如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错(==,而不是equals)等1.Dm: Hardcoded constant database password (DMI_CONSTANT_DB_PASSWOR...
java自定义findbugs规则,定制 findbugs规则 - 阿里巴巴一个测试架构师 - 51Testing软件测试网 51Testing软件测试网-软件测试人的精神家园...
weixin_30465747的博客
03-16 200
这类文章极少,字节码操作需要对becl库及jvm字节码操作有一定常识。参考:http://blog.csdn.net/lywybo/archive/2010/03/01/5335748.aspxibm介绍的原理实用,但配置过时;支付宝朋友写的message.xml/findbugs.xml不够详细且有笔误。1.1准备修改build.xml ,去除所有的validate依赖。执行ant编译。ecli...
java自定义findbugs规则_findbugs自定义规则并配置实现检测
weixin_39621235的博客
02-17 565
findbugs不过多介绍了,对于这个主题找了一些资料,没有找到一个完整的介绍,要么是介绍怎么写detector,要么就是没有完整的介绍怎么配置生效,下面主要介绍一下怎么配置其生效,至于怎么写这个detector还是有很多资料说明的,不过在些也重复一下。一、自定义detector1ForbidSystemOutClass检测类packagecom.test.findbugs;importorg....
代码检查工具系列——FindBugs
热门推荐
不悔的青春
03-15 1万+
前言  随着项目越来越复杂,工程越来越庞大,单纯的依靠人工去检查代码中存在的潜在问题是不现实的,单元测试也无法完全覆盖,因此借助自动化工具去做一些代码检查的事情是十分必要的,因此本系列文章将主要讲述几个常用的代码检查工具。FindBugs  FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。   FindBugs 不注重样式或者格式,
android静态代码扫描,Android 静态代码扫描流程及工具说明
weixin_35578748的博客
05-26 1665
1. 静态扫描流程1.1 版本发布流程大致分为5个阶段,静态代码扫描的工作在第3步进行,如图:版本发布流程图1.2 典型案例分析[空指针]空指针引用[内存泄露]Stream资源关闭[性能]使用indexOf(字符)[兼容]系统API兼容性隐患[越界]数组下标越界隐患[异常] 使用除法或求余没有判断分母长度隐患[SQL]注入风险[应用安全] AndroidMannifest.xml文件中allowB...
Gradle平台集成静态代码检查(findbugs,pmd,checkstyle)
10-13
本知识点主要聚焦于如何在Gradle构建平台上集成Findbugs、Checkstyle、PMD这三种流行的静态代码检查工具。 **Gradle平台集成静态代码检查** **1. 静态代码检查工具简介** - **Findbugs**:这是一个分析Java字节码...
java自定义findbugs规则,FindBugs 规则整理:Performance
weixin_39769675的博客
03-16 531
BX_BOXING_IMMEDIATELY_UNBOXEDPrimitive value is boxed and then immediately unboxed对原始值进行装箱,然后立即取消装箱。这可能是在一个未要求装箱的地方进行了手动装箱,从而迫使编译器进行立即撤消装箱的操作BX_BOXING_IMMEDIATELY_UNBOXED_TO_PERFORM_COERCIONPrimitive ...
中文版-FindBugs规则整理
05-07
中文版-FindBugs规则整理_ 支持规则大约有300个左右;
详解eclipse插件findbugs规则的开发过程
04-03
NULL 博文链接:https://plkong.iteye.com/blog/1482178
checkstyle和pmd、FindBugs规则集成文档
06-20
myeclipse 和 eclipse 集成插件
findbugs自定义的问题
handsome_boy_kang的专栏
04-23 519
最近要做关于代码规范的问题,许多都通过checkstyle和findbugs解决了,但是还有几个功能,例如:方法返回类型是boolean的,那么方法名前加IS或is。想要用findbugs解决。但是findbugs自定义规则基本上了解,网上关于是否输出  sysout也成功了,但是自己定义class文件和xml文件加入到插件的jar中,还是会报错,有没有自己定义过findbugs的高手来帮我解决一
FindBugs,第 2 部分: 编写自定义检测器
qinzdc的专栏
09-14 619
<br />FindBugs,第 2 部分: 编写自定义检测器<br />如何编写自定义检测器以查找特定于应用程序的问题文档选项<br />将此页作为电子邮件发送<br /><br />级别: 初级<br />Chris Grindstaff (chris@gstaff.org), 软件工程师<br />2004 年 6 月 01 日FindBugs 是一种可以扩展和定制以满足自己团队独特要求的静态分析工具。在本系列的第 2 部分中,高级软件工程师 Chris Grindstaff 向您展示如何创建
转:FindBugs,第 2 部分: 编写自定义检测器
z3h的专栏,Java+Oracle...大杂烩
06-27 1701
FindBugs,第 2 部分: 编写自定义检测器如何编写自定义检测器以查找特定于应用程序的问题FindBugs 是一种可以扩展和定制以满足自己团队独特要求的静态分析工具。在本系列的第 2 部分中,高级软件工程师 Chris Grindstaff 向您展示如何创建特定于应用程序的缺陷检测器。在本系统的 第一篇文章中,我展示了如何设置和执行 FindBugs。现在我们将分析 Find
(转)定制findbugs规则
weixin_33894640的博客
07-15 122
转载自http://www.51testing.com/html/97/13997-211893.html 这类文章极少,字节码操作需要对becl库及jvm字节码操作有一定常识。参考: http://blog.csdn.net/lywybo/archive/2010/03/01/5335748.aspx http://javadevelopmentforthemasses.blogspot....
FindBugs:简单介绍与使用
FynnJason的技术屋
12-12 1万+
简介 Findbugs是一个静态分析工具,它检查类或者JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。Findbugs自带检测器,其中有60余种Bad practice,80余种Correctness,1种 Internationalization,12种Malicious code vulnerability,27种Multithreaded correctness,23种Per
Ant集成FindBugs:深度解析Java代码质量提升与自定义规则
Ant与FindBugs集成是一种在Java开发过程中提高代码质量的重要步骤,它结合了自动化构建工具Ant和静态代码分析工具FindBugs,帮助开发者在编译后快速识别潜在的编程错误和性能问题。Findbugs是一款专门针对Java程序...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值