代码缺陷扫描神器——FindBugs

最新推荐文章于 2024-07-12 10:51:18 发布
最新推荐文章于 2024-07-12 10:51:18 发布
阅读量1.8k 收藏 10
点赞数 21
文章标签: bug 安全 web安全 网络安全 黑客 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81475873/article/details/138801351
版权

FindBugs目前,主要有三种形式使用,GUI形式、插件形式、Ant脚本形式,在这里只讲述FindBugs作为插件,在Android Studio中的应用。

目录

一、FindBugs基础知识

二、FindBugs使用进阶

网络安全学习路线 (2024最新整理)

学习资料的推荐

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

一、FindBugs基础知识

(1)FindBugs—代码缺陷分类

根据缺陷的性质,大致可以分为下列几类:

分类

1)Bad practice:不好的做法,代码违反了公认的最佳实践标准,比如某个类实现了equals方法但未实现hashCode方法等;

2)Malicious code vulnerbility:恶意的代码漏洞;

3)Correctness:可能不正确,比如错误的强制类型转换;

4)Performance:潜在的性能问题;

5)Security:安全性;

6)Dodgy code:糟糕的代码,FindBugs团队认为该类型下的问题代码导bug的可能性很高;

7)Experimental:实验;

8)Multithreaded correctness:关注于同步和多线程问题;

9)Internationalization:国际化

(2)Android Studio中使用FindBugs-IDEA插件

1)安装FindBugs插件

Android Studio —> Preference —> Plugins—> Browse Repositories ...

重启

2)FindBus菜单栏和工具栏如下

菜单栏

工具栏

3)FindBugs工具栏介绍

区域1:选择分析文件,主要包括有:Analyze Current file、Analyze Class (non-anonymous) under Cursor、Analyze Package(s) files、Analyze Module files、

Analyze Package files、Analyze Scope files等;

其中比较重要的是:Analyze Scope files(如图所示),可以设置Custom Scope,其中VCS Scope比较nice(在Code Review前,就可以利用findBugs检查代码)

区域2:FindBugs结果分类,主要包括有:Group by bug category、Group by class、

Group by package、Group by bug rank;

区域3:导入/导出分析结果(XML/HTML)

3)实例分析

FindBugs面板主要包括三部分:1)FindBugs结果分类区、2)Select a bug to preview、3)Bug Details,如下图所示为一个SIC问题,内部类最好为static类。

同样,连遍历HashMap性能问题,findBugs也能扫出来(牛!)

结  论:使用keySet形式遍历HashMap性能不如entrySet

常见bug分类如下:

二、FindBugs使用进阶

(1)FindBugs设置部分

FindBugs设置主要包括:General、Report、Filter、Detector、Annotate、Share等及部分。

1)General add Plugins

如Add Findbugs plugin for Android

2)Report部分

FindBugs报告相关设置,报告等级、报告结果分类(是否显示相应类型)

3)Filter过滤器(相当重要)

exclude忽略指定的class/package (以xml定义过滤的命名)

include只输出指定的class/package (以xml定义过滤的命名)

filter内容如下:

使用filter前后对比如下:

很明显,RadioUtil和TouchDelegateGroup文件被过滤掉了

详见:findbugs.sourceforge.net/manual/filt…findbugs.sourceforge.net/manual/filt…

4)Detector

可以选择所要进行检查的相关的Bug Pattern条目,你可以根据需要选择或去掉相应的检查条件

5)Annotate

Bug注解,默认设置即可。

实例如下:左侧黄色、红色图标为GutterIcon

(2)Gradle中添加findbugs

1Findbugsgradle中配置

2)在gradle中执行

3)输出Report

网络安全学习路线 (2024最新整理)

 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你! 

第一阶段:安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段:信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段:Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段:渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段:实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

白帽安全-黑客0175
关注
  • 21
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
代码检查工具系列——FindBugs
不悔的青春
03-15 1万+
前言  随着项目越来越复杂,工程越来越庞大,单纯的依靠人工去检查代码中存在的潜在问题是不现实的,单元测试也无法完全覆盖,因此借助自动化工具去做一些代码检查的事情是十分必要的,因此本系列文章将主要讲述几个常用的代码检查工具。FindBugs  FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。   FindBugs 不注重样式或者格式,
findbugs(静态代码分析插件)
11-12
1、将下载回来的zip包解压,得到文件夹:edu.umd.cs.findbugs.plugin.eclipse_1.3.9.20090821, 将该文件夹拷贝到myeclipse安装目录下common/plugins目录下。我的目录结构:D:\Genuitec\MyEclipse8.5\Common\plugins\edu.umd.cs.findbugs.plugin.eclipse_1.3.9.20090821 2、修改myeclipse安装目录下configuration/org.eclipse.equinox.simpleconfigurator的bundles.info文件,在文件最后添加一行: edu.umd.cs.findbugs.plugin.eclipse,1.3.9.20090821, file:/D:/Genuitec/MyEclipse8.5/Common/plugins/edu.umd.cs.findbugs.plugin.eclipse_1.3.9.20090821,4,false 这里file后面的路径要根据自己的目录设置进行修改,要不然重启myeclipse后,仍然找不到findbugs。 3、重启myeclipse,选中项目,右键会出现一个Find Bugs菜单。至此,findbugs插件安装完毕。
findbugs+ant代码扫描
03-09
findbugs结合ant进行代码扫描
5款常用的漏洞扫描工具,网安人员不能错过!
最新发布
bigbangbangbang1的博客
07-12 1800
1漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测的行为。在漏洞扫描过程中,我们经常会借助一些漏扫工具,市面上漏扫工具众多,其中有一些常用的,你一定要熟悉。1。
静态代码检查工具 FindBugs
mike_caoyong的专栏
09-04 1万+
静态代码检查工具 FindBugs 使用 FindBugs的原因和方法   静态分析工具承诺无需开发人员费劲就能找出代码中已有的缺陷。当然,如果有多年的编写经验,就会知道这些承诺并不是一定能兑现。尽管如此,好的静态分析工具仍然是工具箱中的无价之宝。在这个由两部分组成的系列文章的第一部分中,高级软件工程师 Chris Grindstaff 分析了 FindBugs如何帮助提高代码质量以及排
findbugs 插件
Gerry的专栏
11-28 1038
1  用findbugs发现了很多令人毛骨悚然的bug 作者: daquan198163 发表时间: 2009-10-26 关键字: 代码 质量 findbugs if(prList != null || prList.size()!=0){....} 用==比较String、Integer等对象 Object[]强转成String[] 还有更恶心的: 对Stri
代码查错
weixin_30886233的博客
09-26 111
修改: interfacePlayable{voidplay();}interfaceBounceable{voidplay();}interfaceRollableextendsPlayable,Bounceable{Ballball=newBall("Ping...
FindBugs:简单介绍与使用
FynnJason的技术屋
12-12 1万+
简介 Findbugs是一个静态分析工具,它检查类或者JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。Findbugs自带检测器,其中有60余种Bad practice,80余种Correctness,1种 Internationalization,12种Malicious code vulnerability,27种Multithreaded correctness,23种Per
代码扫描工具
comfzzk637942924的博客
04-26 499
代码扫描工具 1. sonar 2.ali的stc平台用的是:findbugs 和 pmd 参考: 测试框架:使用SONAR分析代码质量 配置sonar、jenkins进行持续审查 ...
TscanCode代码扫描工具
热门推荐
code_peak
07-17 1万+
TscanCode介绍 TscanCode 是腾讯研发的静态代码扫描工具,最早的版本是基于 cppcheck 二次开发。之后又重新自研,不仅支持 C++,还支持 C#,Lua 语言,在发掘 C++ 空指针、越界、未初始化、C#空引用、Lua变量未初始化等比较有效。TScanCode 比较适用于游戏开发代码扫描,有着不错的准确率和效率,其性能测试可以见:https://blog.csdn.net/wetest_tencent/article/details/51516347。 TscanCode 主要能够发现
静态代码扫描——FindBugs自定义规则入门
oggboy的专栏
07-06 8777
阅读本文前,建议先了解一下FindBugs的介绍和使用方法。 准备工作由于FindBugs是分析编译后的class文件,也就是字节码文件。我们需要了解FindBugs底层的处理机制。根据FindBugs官网文档描述,FindBugs使用了BCEL来分析Java字节码文件。从1.1版本开始,FindBugs也支持使用ASM字节码框架来编写bug探测器。 我们需要下载FindBugs源码版用来新增自定
Understand 代码检查工具中文破解版 智能检查代码漏洞 生成代码结构图 专业开发者必备!
10-05
Understand 代码检查工具中文破解版 智能检查代码漏洞 生成代码结构图 专业开发者必备!
代码查错器
07-04
代码查错器你值得拥有,简单易操作,内存小,好用实在
java代码缺陷自动分析工具之FindBugs介绍.pdf
10-08
FindBugs 是一个 Java 字节码静态分析工具,旨在帮助 Java 工程师提高代码质量和排除隐含的缺陷FindBugs 检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。 FindBugs 的主要功能 1. 找出 ...
java 代码安全扫描,Find-Sec-Bugs 静态代码安全审计神器
weixin_30619981的博客
03-20 1650
前言是否有在开发完项目发布以后才被告知你的项目代码存在安全问题,还要回去重温代码逻辑,重新修改发布,是不是特别不想做这一件重复劳动的事情?这边给大家介绍一款可在本地使用的代码安全扫描插件,方便在开发阶段自动化安全检查,降低漏洞修复时间和减少漏洞出现的概率。插件简介插件介绍:Find-Sec-Bugs是一款本地 bug 扫描插件 “FindBugs-IDEA” 的 Java 安全漏洞规则扩展库,它...
JAVA代码查错
星星的金币的专栏
12-19 710
1.abstract class Name {private String name;public abstract boolean isStupidName(String name) {}}大侠们,这有何错误?答案: 错。abstract method必须以分号结尾,且不带花括号。2.public class Something {void doSomethi
eclipse代码安全扫描
08-23
Eclipse是一款广泛应用于软件开发的集成开发环境(IDE),它提供了丰富的功能和插件,方便开发人员编写、调试和管理代码。在软件开发过程中,代码安全扫描是一个至关重要的环节。 代码安全扫描是指使用专门的工具和技术来检测和分析代码中存在的安全风险和漏洞。它可以帮助开发人员及早发现和解决存在的问题,降低代码被恶意攻击利用的风险。 在Eclipse中进行代码安全扫描,可以通过安装适当的插件来实现。这些插件可以集成各种静态分析工具和自动化扫描工具,比如FindBugs、Checkstyle、PMD等。这些工具可以检查代码中的常见问题,如潜在的漏洞、不安全代码实践和不合规范的编码风格等。 通过配置这些插件,开发人员可以定制化地选择需要进行扫描代码部分,设置规则和警告级别,并获取扫描结果报告。当代码中存在安全漏洞或风险时,插件会给出相应的警告或建议,帮助开发人员及时修复问题。 此外,Eclipse还可以与其他第三方工具和服务集成,如静态代码分析平台、代码审查工具等,进一步提升代码安全扫描的能力和效果。 总之,通过在Eclipse中进行代码安全扫描,开发人员可以更好地保障代码安全性和质量。这样可以减少潜在的安全威胁,提升软件的稳定性和可靠性,并为用户提供更安全的软件体验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值