CheckStyle(Java代码审计工具)

最新推荐文章于 2024-06-16 15:30:00 发布
最新推荐文章于 2024-06-16 15:30:00 发布
阅读量4.5k 收藏 1
点赞数
分类专栏: Java工具类 文章标签: java javadoc ant file documentation encoding
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_baobao/article/details/6803103
版权
 

假设Checkstyle位于全局的classpath中,可以使用如下的taskdef定义:

<taskdef resource="checkstyletask.properties"/>

checkstyle任务的参数:

file:需要检查的文件。

config:指定配置文件。

configURL:指定配置文件的URL。

(config和configURL中必须指定一个)

properties:指定包含扩展属性值的属性文件。

packageNamesFile:指定一个包含配置的package名的文件。

failOnViolation:如果检查出错误时,是否停止。默认为true。

failureProperty:如果发生错误时,需要设置的属性的名称。

maxErrors:允许发生错误ude最大数。默认为0。

maxWarnings:允许发生的警告的最大数。默认值为整型的最大值。

classpath:查询类时使用的类路径。默认为当前classpath。

classpathref:类路径的引用。

嵌套元素:checkstyle任务支持以下的嵌套元素:<fileset>、<classpath>、<formatter>和<property>。其中<formatter>元素的参数如下:

type:生成的输出内容的类型,合法的值包括plain和xml。默认的值为plain。

toFile:将输出写入的文件。默认为标准输出。

useFile:是否将输出写入到文件,默认为true。

<property>元素指定提供扩展属性的值的属性文件。该元素的参数如下:

key:属性的键值。

value:字符串格式的属性的值。

file:文件格式的属性的值。

(value和file参数必须设置一个)

下面是一些例子:

<checkstyle config="docs/sun_checks.xml" file="Check.java"/>

 

<checkstyle config="/path/to/site/sun_checks.xml">

  <fileset dir="src/checkstyle" includes="**/*.java"/>

  <!-- Location of cache-file. Something that is project specific -->

  <property key="checkstyle.cache.file" file="target/cachefile"/>

</checkstyle>

 

<checkstyle config="docs/sun_checks.xml">

  <fileset dir="src/checkstyle" includes="**/*.java"/>

  <formatter type="plain"/>

  <formatter type="xml" toFile="build/checkstyle_errors.xml"/>

</checkstyle>

 

<checkstyle config="docs/sun_checks.xml"

            packageNamesFile="myPackageNames.xml"

            file="Check.java"/>

 

<target name="checkstyle"

        description="Generates a report of code convention violations.">

  <checkstyle config="docs/sun_checks.xml"

              failureProperty="checkstyle.failure"

              failOnViolation="false">

    <formatter type="xml" tofile="checkstyle_report.xml"/>

    <fileset dir="src" includes="**/*.java"/>

  </checkstyle>

  <style in="checkstyle_report.xml" out="checkstyle_report.html" style="checkstyle.xsl"/>

</target>

<!-- run this target as part of automated build -->

<target name="checkstyle-nightly"

        depends="checkstyle"

        if="checkstyle.failure"

        description="Sends email if checkstyle detected code conventions violations.">

  <!-- use your own server and email addresses below. See Ant documentation for details -->

  <mail from="qa@some.domain"

        tolist="someone@some.domain,someoneelse@some.domain"

        mailhost="mailbox.some.domain"

        subject="Checkstyle violation(s) in project ${ant.project.name}"

        files="checkstyle_report.html"/>

</target>

 

Checkstyle的命令行使用方式:

java -D<property>=<value>  \

     com.puppycrawl.tools.checkstyle.Main \

     -c <configurationFile> [-n <packageNameFile>] \

     [-f <format>] [-p <propertiesFile>] [-o <file>] \

     [-r <dir>] file...

    *   -n packageNamesFile - 指定使用的package name文件。

    * -f format - 指定输出的格式。

    * -p propertiesFile - 指定使用的属性文件。

    * -o file - 指定输出文件。

    * -r dir - 指定需要遍历java文件的目录。

 

CheckStyle一般配置:(正常情况下,该规则已足够)

<?xml version="1.0" encoding="GB2312"?>
<!DOCTYPE module PUBLIC "-//Puppy Crawl//DTD Check Configuration 1.3//EN" "http://www.puppycrawl.com/dtds/configuration_1_3.dtd">

<module name="Checker">
	<!-- 重复代码的检查,超过8行就认为重复,UTF-8格式 
		本检查一定要放在"TreeWalker"节点前,否则在 
		Checkclipse中会无法使用。(在ant下可以) 
	-->
	<!-- <module name="StrictDuplicateCode">
		<property name="min" value="8" />
		<property name="charset" value="UTF-8" />
	</module>-->
	<!-- 文件长度不超过1500行 -->
		<module name="FileLength">
			<property name="max" value="1500" />
		</module>

	<module name="TreeWalker">

		<!-- javadoc的检查 -->
		<!-- 检查所有的interface和class -->
		<module name="JavadocType" />

		<!-- 检查所有方法的javadoc,可以不声明RuntimeException -->
		<module name="JavadocMethod">
			<property name="allowUndeclaredRTE" value="true" />
		</module>
		<!-- 检查某个变量的javadoc -->
		<module name="JavadocVariable" />

		<!-- 命名方面的检查,它们都使用了Sun官方定的规则。 -->
		<module name="TypeName" /><!-- 类名 (class 或interface) 的检查 -->
		<module name="MemberName" /><!-- 变量的检查 -->
		<module name="MethodName" /><!-- 方法名的检查 -->
		<module name="ParameterName " /><!-- 方法的参数名 -->
		<module name="ConstantName" /><!-- 常量名的检查 -->

		<!-- 长度方面的检查 -->
		
		<!-- 每行不超过120个字-->
		<module name="LineLength">
			<property name="max" value="120" />
		</module>
		<!-- 方法不超过30行 -->
		<module name="MethodLength">
			<property name="tokens" value="METHOD_DEF" />
			<property name="max" value="30" />
		</module>
		<!-- 方法的参数个数不超过3个。 -->
		<module name="ParameterNumber">
			<property name="max" value="3" />
		</module>

		<!-- 多余的关键字 -->
		<module name="RedundantModifier" />
		<!-- 对区域的检查 -->
		<!-- 不能出现空白区域 -->
		<module name="EmptyBlock" />
		<!-- 所有区域都要使用大括号。 -->
		<module name="NeedBraces" />
		<!-- 多余的括号 -->
		<module name="AvoidNestedBlocks">
			<property name="allowInSwitchCase" value="true" />
		</module>
		<!-- 编码方面的检查 -->

		<!-- 不许出现空语句 -->
		<module name="EmptyStatement" />
		<!-- 每个类都实现了equals()和hashCode() -->
		<module name="EqualsHashCode" />
		<!-- 不许使用switch -->
		<module name="IllegalToken">
			<property name="tokens" value="LITERAL_SWITCH" />
		</module>
		<!-- 不许内部赋值 -->
		<module name="InnerAssignment" />
		<!-- 绝对不能容忍魔法数 -->
		<module name="MagicNumber" />
		<!-- 循环控制变量不能被修改 -->
		<module name="ModifiedControlVariable" />
		<!-- 多余的throw -->
		<module name="RedundantThrows" />
		<!-- 不许使用未被简化的条件表达式 -->
		<module name="SimplifyBooleanExpression" />
		<!-- 不许使用未被简化的布尔返回值 -->
		<module name="SimplifyBooleanReturn" />
		<!-- String的比较不能用!= 和 == -->
		<module name="StringLiteralEquality" />
		<!-- if最多嵌套3层 -->
		<module name="NestedIfDepth">
			<property name="max" value="3" />
		</module>
		<!-- try最多被嵌套1层 -->
		<module name="NestedTryDepth" />
		<!-- clone方法必须调用了super.clone() -->
		<module name="SuperClone" />
		<!-- finalize 必须调用了super.finalize() -->
		<module name="SuperFinalize" />
		<!-- 不能catch java.lang.Exception -->
		<module name="IllegalCatch">
			<property name="illegalClassNames"
				value="java.lang.Exception" />
		</module>
		<!-- JUnitTestCase 的核心方法存在。 -->
		<module name="JUnitTestCase" />
		<!-- 一个方法中最多有3个return -->
		<module name="ReturnCount">
			<property name="max" value="3" />
		</module>
		<!-- 不许对方法的参数赋值 -->
		<module name="ParameterAssignment" />
		<!-- 不许有同样内容的String -->
		<module name="MultipleStringLiterals" />
		<!-- 同一行不能有多个声明 -->
		<module name="MultipleVariableDeclarations" />

		<!-- 各种量度 -->
		<!-- 布尔表达式的复杂度,不超过3 -->
		<module name="BooleanExpressionComplexity" />
		<!-- 类数据的抽象耦合,不超过7 -->
		<module name="ClassDataAbstractionCoupling" />
		<!-- 类的分散复杂度,不超过20 -->
		<module name="ClassFanOutComplexity" />
		<!-- 函数的分支复杂度,不超过10 -->
		<module name="CyclomaticComplexity" />
		<!-- NPath复杂度,不超过200 -->
		<module name="NPathComplexity" />

		<!-- 杂项 -->
		<!-- 禁止使用System.out.println -->
		<!-- <module name="GenericIllegalRegexp">

			<property name="format" value="System\.out\.println" />
			<property name="ignoreComments" value="true" />
		</module>-->

		<!-- 不许使用与代码同行的注释 -->
		<module name="TrailingComment" />

	</module>

	<!-- 检查翻译文件       -->
	<module name="Translation" />

</module>

CheckStyle与Ant整合

<?xml version="1.0" encoding="GB2312"?>

<project name="CSA_WEB" default="my_check" basedir="."> 
  <taskdef resource="checkstyletask.properties" classpath=".//WebRoot/WEB-INF/lib/checkstyle-5.3-all.jar"/>  
  <target name="my_check"> 
    <checkstyle config="ant_audit_rule/my_checks.xml"> 
      <fileset dir="E:/MyEclipse6.6/workspace/CSA_WEB/WebRoot/ant_audit/ant_audit_code/297e2ae4313bdc5f01313bddc15e0001" includes="**/*.java"/>  
      <formatter type="plain" toFile="ant_audit_log/checkstyle_errors.txt"/>  
      <formatter type="xml" toFile="ant_audit_log/checkstyle_errors.xml"/> 
    </checkstyle> 
  </target> 
</project>



 

 

love_baobao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
java代码审计
gjgj的博客
07-18 4775
https://www.cnblogs.com/nongchaoer/p/13324114.html 有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。 这里的报错,看报错信息,进行更改就好。 使用低版本的phpsyudy 搭建 代码审计——白盒测试 1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。 2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:N
代码审计-Java项目审计-SQL注入漏洞
最新发布
logic1001的博客
06-16 796
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞。代码审计两种方法:功能点或关键字分析可能存在的漏洞。
Java代码审计
谷哥的小弟
04-11 1571
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。
攻击JavaWeb应用[6]-程序架构与代码审计
xiaoshan812613234的专栏
11-14 1972
注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节重点是怎样去找到并利用问题去获取一些有意思的东西。 Before: 有MM的地方就有江湖,有程序的地方就有漏洞。现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源框架让其项目坚固了不少。在一个中大型的Web应用漏洞的似乎永远都存在,只是在于影
#资源分享达人# 代码审计[java安全编程].doc.zip
08-03
8. **代码审计工具**:介绍各种静态代码分析工具,如FindBugs、Checkstyle、PMD等,以及它们在检测安全问题上的应用。 9. **单元测试与集成测试**:编写测试用例以检测安全漏洞,确保代码的健壮性。 10. **持续...
代码审计工具汇总
10-06
本文将围绕“代码审计工具汇总”这一主题,结合随亦的博客《代码审计--8--环境搭建+工具使用》一文,探讨一些常用的代码审计工具和它们在实践中的应用。 1. **SonarQube**: SonarQube是一款开源的代码质量管理...
4 种主流 Java 静态代码分析工具
05-27
Java作为一种广泛使用的编程语言,拥有丰富的静态代码分析工具,其中Checkstyle、FindBugs、PMD和Jtest是最为知名的几种。本文将详细介绍这四种工具的特点及其应用场景。 #### 二、静态代码分析工具综述 ##### 1. ...
免费整理了一些超实用的Java编写的小工具
10-30
首先,MySQL监控器是一个对数据库性能进行实时监控的工具,它可以帮助开发者进行代码审计和黑盒测试。在Java中,这样的工具通常会利用JDBC(Java Database Connectivity)API来连接和操作MySQL数据库。通过收集和...
checkstyle eclipse 插件
09-29
- **自定义报告**:可以导出 Checkstyle 报告为 HTML、XML 或文本格式,方便团队共享和代码审计。 - **忽略规则**:对于某些特殊情况,可以临时或永久地忽略特定的检查规则。 - **集成构建工具**:除了在 Eclipse 中...
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
Checkcode.java
12-28
可以使用此代码来实现注册或登录时动态生成验证码,字符范围是a-zA-Z以及从0到9,随机生成四个字符,并且有图形,直线等作为扰乱。
代码评审工具
09-14
代码评审工具,包括findbugs、pmd、reviewclipse
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
代码审计工具Findbugs是一个应用比较广泛的开源代码审计工具,如果开发团队利用好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是Free。 其中介绍内容包括: Malicious code vulnerability 恶意代码 Dodgy 小问题 Bad practice 不好的习惯 Bogus random noise 无效代码 Correctness 代码的正确性 Internationalization 国际化问题 Performance 性能问题 Security 安全性问题 Multithreaded currectness 线程问题 Experrimental 实验性问题
阿里代码审计插件
03-26
插件,阿里审查代码插件,插件,插件插件,插件,插件
java自动化审计
Karka_的博客
09-14 409
CodeQL是一个免费开源的代码语义分析引擎(GitHub购买之后的开源项目),其利用QL语言对代码、执行流程等进行“查询”,以此实现对代码的安全性白盒审计,进行漏洞挖掘。
Java代码审计代码审计的方法及常用工具
大河之犬的博客
05-10 1191
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至。
03-04 1237
本文来学习、总结下业界常见的 Java 语言代码审计工具的使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
java项目代码审计工具
10-26
Java项目代码审计工具有很多种,以下是其中几种常用的工具: 1. FindBugs:一个静态分析工具,可以检测Java代码中的潜在缺陷和错误。 2. PMD:一个静态分析工具,可以检测Java代码中的潜在问题和错误,并提供代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值