代码静态分析

最新推荐文章于 2023-12-21 14:05:56 发布
最新推荐文章于 2023-12-21 14:05:56 发布
阅读量267 收藏
点赞数
文章标签: java 开发工具

在代码构建过程中使用静态分析工具有助于发现代码缺陷,并提高代码的质量。本节关注三个代码静态分析工具的使用:FindbugsPMDCheckstyle。这三个工具各有不同的特点,联合使用有助于减少误报错误,提高报告的准确率。

使用目的

这三个工具检查的侧重点各有不同:

工具

目的

主要检查内容

FindBugs

基于Bug Patterns概念,查找java bytecode中的潜在bug。在目前版本中,它不检查java源文件。

主要检查bytecode中的bug patterns,也允许用户自定义特定的bug patterns

PMD

检查java源文件中的潜在问题。

主要包括:

² 空try/catch/finally/switch语句块

² 未使用的局部变量、参数和private方法

² 空if/while语句

² 过于复杂的表达式,如不必要的if语句等

² 复杂类

CheckStyle

检查java源文件是否与代码规范相符

主要包括

² Javadoc注释

² 命名规范

² Headers

² Imports

² Size冲突和度量,如过长的方法

² Whitespace

² Modifiers

² Blocks

² Coding Problems

² Class Design

² 重复代码

² Miscellaneous Checks

² Optional Checks

本文中三个工具各自的版本分别是:FindBugs 0.85PMD 2.0CheckStyle 3.3。这三个工具都可以从sourceforge下载,而且它们都为Eclipse提供了相应的plugin

用法

关于IDE以及plugin如何使用在此不做介绍,本文主要关注它们如何与ant配合使用,使这些工具成为每次构建过程中的有机组成。

FindBugs

FindBugs的运行环境可能是这三个工具之中最苛刻的了。它工作在j2se1.4.0或以后的版本中,需要至少256MB内存。它的安装非常简单,下载之后简单的解压即可。为了与ant配合使用,它提供了对应的ant task。它的使用:

1. findbugs复制到项目的classpath中,并删除将这些文件纳入开发管理中很容易在另一台机器上重建构建环境。不建议向手册中所说的仅仅将findbugs-ant.jar复制到ANT_HOME/lib下。

2. 修改build.xml

<!-- 定义findbugs所在目录,建议直接将findbugs复制到classpath -->

<property name="findbugs.home" value="lib/findbugs" />

<!-- 定义findbugs任务,以及所在的jar文件 -->

<taskdef name="findbugs" classname="edu.umd.cs.findbugs.anttask.FindBugsTask"

classpath="${findbugs.home }/lib/findbugs-ant.jar"/>

<target name="findbugs">

<!-- 使用,所用参数介绍见后 -->

<findbugs home="${findbugs.home}"

output="html"

outputFile="findbugs.html" >

<!-- fog.jar所依赖的classpath引用 -->

<auxClasspath refid="classpath"/>

<!-- fog.jar对应的源文件 -->

<sourcePath path="src" />

<!-- 要分析的bytecode文件 -->

<class location="bin/lib/fog.jar" />

</findbugs>

</target>

3. 运行:ant findbugs

4. 参数说明:

属性:

- home属性,指出findbugs的安装目录

- quietErrors属性,如果为true,那么严重分析错误和丢失类信息不会出现在输出中。缺省为false

- reportLevel属性,指明报告输出bug的级别。”low”,所有bug全部输出;”medium”(缺省),输出中级和高级bug”high”,只输出高级bug

- outputoutputFile属性,指明输出格式和文件名。

- sort属性,如果为true(缺省),输出按类名排序。

- debug属性,是否输出findbugs的调试信息,缺省为false。在自定义bug检测器时使用进行调试。

- visitors属性,用逗号分隔的类名,指明哪些bug检测器可以运行。缺省是所有。

- omitVisitors属性,相当于visitors属性取反,指明哪些bug检测器不能运行。

- excludeFilterincludeFilter属性,指明排除和包含的过滤器(即定义它的文件名)。

- projectFile属性,与findbug gui相关,略。

- jvmargs属性,指明需要传递给jvm的参数。

- timeout属性,超时设置,以毫秒为单位。缺省是600000ms,是10分钟。

- failOnError属性,为true时,如果有findbugs运行中出错,中止构建过程。缺省为false

- workHard属性,用于将低输出的错误率,但是运行也最慢。缺省为false

内嵌元素:

- class元素,要分析的bytecode

- auxClasspath元素,class元素依赖的类。

- sourcePath元素,class元素对应的源文件,它用来指出findbugs输出内容所对应的源文件信息。

- systemProperty元素,定义系统属性。

使用过滤器。过滤器用来包含或排除特殊的bug报告。这样做有助于在特定的时间段内,聚焦我们的关注点。过滤器实际是在一个xml文件定义的,它的典型格式:

<FindBugsFilter>

<!-- 所有的bug检测器都与这个类匹配 -->

<Match class="com.foobar.ClassNotToBeAnalyzed" />

<!-- bugcodeDE,UrF,SIC与这个类匹配 -->

<Match class="com.foobar.ClassWithSomeBugsMatched">

<BugCode name="DE,UrF,SIC" />

</Match>

<!-- bugcodeXYZ的匹配所有的类 -->

<Match classregex=".*" >

<BugCode name="XYZ" />

</Match>

<!-- bugcodeDC的匹配这个类的这些方法 -->

<Match class="com.foobar.AnotherClass">

<Or>

<Method name="nonOverloadedMethod" />

<Method name="frob" params="int,java.lang.String" returns="void" />

<Method name="blat" params="" returns="boolean" />

</Or>

<BugCode name="DC" />

</Match>

</FindBugsFilter>

通过taskexcludeFilterincludeFilter属性,可以在findbugs的输出报告中包含或排除匹配它们。具体每个bug检测器的bugcode,可以在plugin/coreplugin.jar/messages.xml中找到。其中messages.xml中的bugcode实际是findbugs.xml(也在coreplugin.jar中)每个Detector元素的reports属性的第一个缩写。如:reports属性为VO_VOLATILE_REFERENCE_TO_ARRAY,对应的bugcode=”VO”

从使用来看,findbug还是相当简单的。但要用好,使用者还需要了解bug patterns的相关知识,如覆盖equals的同时需要覆盖hashcode。而且,findbugs也允许我们自定义bug patterns,使之方便的扩展。关于这部分内容,请参见developerworks上的文章《FindBugs,第 2 部分:编写自定义检测器》。

PMD

PMD的运行环境是j2se1.3或以后版本,安装过程同样也是解压即可。对应ant task的使用:

1. lib中所有的jar复制到项目的classpath中。

2. pmd-2.0.jar中的rulesets解压到指定目录,这里面定义了分析所需要的规则集合。

3. 修改build.xml文件。在这一版本中,提供了2ant task。一个是pmd使用规则集合进行分析;另一个是检查代码中Copy & Paste代码。这2个任务对应的ant task使用:

PMD任务:

<target name="pmd">

<!-- 定义任务和任务所属类所在的classpath引用 -->

<taskdef name="pmd" classname="net.sourceforge.pmd.ant.PMDTask"

classpathref="classpath"/>

<!-- 检查使用的规则文件 -->

<pmd rulesetfiles="junit_lib/rulesets/imports.xml">

<!-- 输出格式和文件名 -->

<formatter type="html" toFile="pmd_report.html"/>

<!-- pmd所需要依赖包的classpath引用 -->

<classpath refid="classpath"/>

<!-- 要检查的项目源文件根目录 -->

<fileset dir="src">

<include name="**/*.java"/>

</fileset>

</pmd>

</target>

CPD任务:

<target name="cpd">

<!-- 定义任务和任务所属类所在的classpath -->

<taskdef name="cpd" classname="net.sourceforge.pmd.cpd.CPDTask"

classpathref="classpath"/>

<!-- 指明输出文件和判断属于copy & paste的标准 -->

<cpd minimumTokenCount="100" outputFile="cpd.txtl">

<!-- 要检查的项目源文件根目录 -->

<fileset dir="src">

<include name="**/*.java"/>

</fileset>

</cpd>

</target>

4. 运行ant pmdant cpd即可。

5. 参数说明:

- formatter,指明输出格式和文件。

- rulesetfiles,指明分析所需的规则文件,不同文件使用逗号分隔。

- failonerrorpmd执行出错是否中止构建过程。

- failOnRuleViolation,如果与规则冲突,是否中止构建过程。

- classpathpmd所需的classpath

- printToConsole,在发现问题时是否打印到ant log或控制台。

- shortFilenames,在输出报告中是否使用短文件名。

- targetjdk13,是否把目标定为jdk13,如不能使用assert

- failuresPropertyName,在任务结束时,插入违反规则的号码

- encoding,读源文件时所采用的编码,如utf-8

关于规则集合的说明,以及如何自定义规则请参见pmd的文档,文档中已说得相当清楚。

CheckStyle

使用ant task

1. 复制checkstyle-all-3.3.jar到项目的classpath中。

2. 修改build.xml文件:

<taskdef resource="checkstyletask.properties"

classpath="${weblib.dir}/checkstyle-all-3.3.jar"/>

<target name="checkstyle" depends="init">

<!-- 指明checkstyle的分析所需的规则文件 -->

<checkstyle config="checkstyle33.xml">

<!-- 要检查的文件 -->

<fileset dir="${src.code}" includes="**/*.java"/>

<!-- 指明输出格式和文件名 -->

<formatter type="xml" toFile="report.xml"/>

</checkstyle>

<!-- xml文件转换成html文件 -->

<style in="report.xml" out="report.html" style="checkstyle-frames"/>

</target>

3. 运行ant checkstyle即可。

checkstyle的规则文件,即项目的代码规范,建议不要手工书写。可以使用checkstyle plug inEclipse配置后再导出。Checkstyle提供了缺省的xslt,用来进行xml的格式转换。它们都放在contrib目录中。Checkstyle同样也提供了自定义的check,但与PMD相比,书写要复杂。详细情况请参见checkstyle的文档。

检查表

- 为每个工具建立自己的目录和classpath变量。由于这些工具大多都使用了相同的开源软件,很容易会因为使用相同软件包的不同版本而相互干扰。这种问题非常隐蔽,在这种问题上花费时间和精力是非常不值得的。通过建立不同的目录和classpath,然后在对应的ant task中引用各自的classpath,可以有效的避免它。

- 将这些工具纳入项目的配置管理库中。这样可以方便而迅速的在另一台机器上重建构建环境,有效的保证了项目组中统一的构建环境。

- 重视这些输出,但是不要因为输出而困扰。它们仅仅是工具,要学会正确的对待它们。

- 三个工具都提供了自定义规则的接口,相比而言pmd书写最简单,findbugs功能最强。它们涉及AST(抽象语法树)和byte code相关的知识。

iteye_11539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文了解全面静态代码分析
PerforcChina的博客
04-21 2525
在开发具有安全性、可靠性和合规性的软件时,全面静态代码分析是一种有效的方法。在这里,我们将就静态分析而言,讨论全面静态代码分析的不同之处,阐述全面静态代码分析的重要性,以及如何进行全面静态代码分析。 什么是全面静态代码分析 全面静态代码分析,或只是全面分析,是指分析结果的完整性或“健全性”。静态代码分析工具据称能够提供可靠的分析结果,这意味着如果某个软件中存在特定的缺陷或漏洞,该分析工具将报告上述问题。 如果不确实是否存在问题,则提供某种形式的警告,这样就不会“漏掉”任何问题。 (注:这些问..
静态代码分析工具简介
star的博客
09-25 5406
静态代码分析工具简介 什么是静态代码分析 静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。 在软件开发过程中,静态代码分析往往先于动态测试之前进行,同时也可以作为制定动态测试用例的参考。统计证明,在整个软件开发生命周期中,30% 至 70%...
静态代码分析工具汇总
06-17
文档包括静态代码分析工具的汇总。 静态代码测试包括代码检查、静态结构分析代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背程序编程风格的问题,包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。
如何在静态代码分析工具中生成合规报告
Trinity_Techologies的博客
05-18 1509
确保和验证您的代码库符合特定的编码标准或行业规范可能是一个既困难又耗时的过程。然而,通过使用诸如Helix QAC和Klocwork之类的静态代码分析工具,您可以生成一份合规报告,以查看您的代码库是否合规。
静态分析分析
Alexander_Frank的博客
05-05 3503
软件静态分析概念 静态分析通常是指不执行程序代码而寻找代码中可能存在的错误或评估程序代码的过程 被测对象是各种不软件相关的有必要测试的产物,如文档、源代码等 通过扫描程序正文对程序的数据流和控制流等进行分析 •−找出系统的缺陷,得出测试报告 •−不必进行测试用例的设计和结果分析等工作 静态测试可以手工/人工迚行,也可以借助软件工具自动迚行 •− 人工进行静态测试,能够充分发挥人的思维
实验二 代码静态分析 - 副本.doc
03-31
代码静态分析是软件质量保证和测试的重要环节,它可以提高软件的可靠性和安全性,减少后期维护的成本。通过实验,我们了解到静态分析的优势,如无需运行程序、检测速度快、效率高等,同时也认识到了其局限性,如误报...
代码静态分析工具
07-19
PC-Lint 是GIMPEL SOFTWARE公司开发的C/C++软件代码静态分析工具,它的全称是PC-Lint/FlexeLint for C/C++,PC-Lint 能够在Windows、MS-DOS和OS/2平台上使用,以二进制可执行文件的形式发布,而FlexeLint 运行于其它...
安全编程:代码静态分析
07-18
很好的一本书,教人审计代码进行漏洞挖掘,老外写素质还是可以的
实验代码静态分析 软件工程实验报告
09-25
用于软件工程实验的报告 实现静态代码分析 通过静态代码分析实验可以更加熟悉的掌握静态代码分析工具。
库博静态代码分析工具v4.3-用户操作手册.docx
最新发布
05-19
### 库博静态代码分析工具V4.3-用户操作手册知识点详解 #### 一、资源概述 **库博(CoBOT)静态代码分析工具**是一款专业的代码分析工具,其最新版本v4.3提供了全面而详尽的操作指导。这份手册不仅介绍了工具的...
静态代码分析学习
读书未遍、未敢妄下雌黄
03-28 6520
背景 软件开发过程中,工程师需要花费大量的时间和精力修改代码缺陷。从下图可以看出,在软件开发过程中,测试成本随着设计构建、QA、系统集成阶段的发展在不断增加。因此工程师应该努力在设计开发阶段优化代码、定位修复代码缺陷,这样可以节省大量时间和人力成本。 1 代码静态分析知识 【代码[静态分析](Program Static Analysis)是指在不运行代码的方式下,通过词法分析...
高效的敏捷测试第八课 静态测试工具和生成测试报告
fegus的博客
05-22 1987
第18讲:增加自动的静态测试和测试报告生成功能 在之前的讲解里,我曾经提到过,静态测试的对象包括需求、设计和代码,也提到过代码审查的两种方式:一种是人工评审,另一种是基于工具的自动静态测试。在 CI 环境中我们可以通过 GitHub 的 Pull Request 特性来进行代码的人工评审。这一讲,我将带你学习自动的静态测试方法、工具和静态测试报告,以及自动化测试报告的生成。 代码分析静态测试) 代码静态测试,也叫静态分析,它不需要运行应用程序
Python代码静态分析工具推荐与使用
qq_41314882的博客
12-21 3333
在大型的Python项目中,保持代码的质量和可维护性是至关重要的。为了达到这个目标,使用静态分析工具是一种有效的手段。本文将深入介绍几款常用的Python代码静态分析工具,包括它们的功能特性、优缺点分析以及安装和详细使用示例。
静态代码检查报告
dew2145的博客
12-17 1884
今天在下面刊载一篇小王同学写的静态代码检查报告,图文并茂,条理清晰。 1. 工具说明   FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式。Findbugs可以...
程序静态分析
weixin_34383618的博客
09-06 1029
这是我在实习期间对程序静态分析写的报告,以普及大家对程序静态分析 程序静态分析简述 静态程序分析: 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。 它可以帮助软件开发人员、质量保证人...
Polyspace代码静态检查及生成报告
weixin_42687126的博客
08-20 2919
polyspace代码静态分析
什么是静态分析代码分析工具
Pokemogo的博客
12-21 5320
为了从一开始就在您的软件中提高质量,请使用静态分析——软件工程师可以执行的最简单、最有效的方法来防止缺陷并强化代码,同时加快应用程序交付。 在对任何类型的系统进行工程设计时,尽早(并经常)检查缺陷和修复错误使团队可以显着减少添加到项目中的下游工作量,并且是避免在此过程中出现多头麻烦的可靠方法。 在软件开发中,不是一开始就设计出更好的软件,而是试图落入一个通用的陷阱中,并试图简单地对软件项目的质量进行测试(通常是在最后)。但是,重要的是要避免采用这种方法的诱惑,这种方法依赖于单元或功能测试来测试产品的质量。.
阐述代码静态分析的概念
04-27
代码静态分析是指在不运行程序的情况下,通过对代码进行分析,来发现代码中的缺陷、漏洞或潜在的安全问题的过程。这种方法可以帮助程序员在编写代码时发现问题并及时解决,从而提高软件质量和安全性。 静态分析可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值