Android静态代码扫描效率优化与实践,安卓面试题目2024

最新推荐文章于 2024-04-20 00:01:15 发布
最新推荐文章于 2024-04-20 00:01:15 发布
阅读量969 收藏 14
点赞数 14
分类专栏: 程序员 文章标签: android 面试 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60721584/article/details/137028548
版权

对于工具本身的扫描时间,一方面受工具自身扫描算法和检测规则的影响,另一方面也跟扫描的文件数量相关。针对源码类型的工具比如CheckStyle和Lint,需要经过词法分析、语法分析生成抽象语法树,再遍历抽象语法树跟定义的检测规则去匹配;而针对字节码文件的工具FindBugs,需要先编译源码成Class文件,再通过BCEL分析字节码指令并与探测器规则匹配。如果要在工具本身算法上去寻找优化点,代价比较大也不一定能找到有效思路,投入产出比不高,所以我们把精力放在减少Module和Variant带来的影响上。

从上面的耗时分析可以知道,Module和Variant数直接影响任务数量, 一次PR提交的场景是多样的,比如多Module多Variant都有修改,所以要考虑这些都修改的场景。先分析一个Module多Variant的场景,考虑到不同的Variant下源代码有一定差异,并且FindBugs扫描针对的是Class文件,不同的Variant都需要编译后才能扫描,直接对多Variant做处理比较复杂。我们可以简化问题,用以空间换时间的方式,在提交PR的时候根据Variant用不同的Jenkins Job来执行每一个Variant的扫描任务。所以接下来的问题就转变为如何优化在扫描单个Variant的时候多Module任务带来的耗时。

对于Module数而言,我们可以将其抽取成组件,拆分到独立仓库,将扫描任务拆分到各自仓库的变动时期,以aar的形式集成到主项目来减少Module带来的任务数。那对于剩下的Module如何优化呢?无论是哪一种工具,都是对其输入文件进行处理,CheckStyle对Java源代码文件处理,FindBugs对Java字节码文件处理,如果我们可以通过一次任务收集到所有Module的源码文件和编译后的字节码文件,我们就可以减少多Module的任务了。所以对于全量扫描,我们的主要目标是来解决如何一次性收集所有Module的目标文件。

思考三:是否支持增量扫描?

上面的优化思路都是基于全量扫描的,解决的是多Module多Variant带来的任务数量耗时。前面提到,工具本身的扫描时间也跟扫描的文件数量有关,那么是否可以从扫描的文件数量来入手呢?考虑平时的开发场景,提交PR时只是部分文件修改,我们没必要把那些没修改过的存量文件再参与扫描,而只针对修改的增量文件扫描,这样能很大程度降低无效扫描带来的效率问题。有了思路,那么我们考虑以下几个问题:

  • 如何收集增量文件,包括源码文件和Class文件?
  • 现在业界是否有增量扫描的方案,可行性如何,是否适用我们现状?
  • 各个扫描工具如何来支持增量文件的扫描?

根据上面的分析与思考路径,接下来我们详细介绍如何解决上述问题。

全量扫描优化

搜集所有Module目标文件集

获取所有Module目标文件集,首先要找出哪些Module参与了扫描。一个Module工程在Gradle构建系统中被描述为一个“Project”,那么我们只需要找出主工程依赖的所有Project即可。由于依赖配置的多样性,我们可以选择在某些Variant下依赖不同的Module,所以获取参与一次构建时与当前Variant相关的Project对象,我们可以用如下方式:

static Set collectDepProject(Projectproject, BaseVariant variant, Set result = null) {
if (result == null) {
result = new HashSet<>()
}
Set taskSet = variant.javaCompiler.taskDependencies.getDependencies(variant.javaCompiler) taskSet.each { Task task ->
if (task.project != project && hasAndroidPlugin(task.project)) { result.add(task.project)
BaseVariant childVariant = getVariant(task.project)
if (childVariant.name == variant.name || “ v a r i a n t . f l a v o r N a m e {variant.flavorName} variant.flavorName{childVariant.buildType.name}”.toLowerCase() == variant.name.toLowerCase()) {
collectDepProject(task.project, childVariant, result)
}
}
}
returnresult
}

目前文件集分为两类,一类是源码文件,另一类是字节码文件,分别可以如下处理:

projectSet.each { targetProject ->
if (targetProject.plugins.hasPlugin(CodeDetectorPlugin) && GradleUtils.hasAndroidPlugin(targetProject)) {

最低0.47元/天 解锁文章
程序员世纪末
关注
  • 14
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码质量】静态代码检测pc-lint, visual lint, cpp-check(pclint、cppcheck、TscanCode)
bandaoyu的note
08-20 7920
引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。 如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 主流静态代码扫描工具概况 腾讯TSC团队自主研发的tscancode工具、cppcheck、coverity、clang、pclint 费用和活跃....
持续集成(CICD)-- sonar代码审查(静态扫描
qq_45004869的博客
03-12 663
sonar-scanner.bat/sonar-scanner.sh的绝对路径> -D"sonar.projectKey=<扫描项目名(自定义)>" -D"sonar.host.url=<Sonar的服务地址>" -D"sonar.login=<Sonar的服务用户名>" -D"sonar.password=<Sonar的服务密码>":进入到【开发项目】—>构建—>Execute SonarQube Scanner 【注意构建的顺序:比如部署构建的代码要在扫描之后】下载完成之后是一个压缩文件,解压之后;
代码质量优化静态代码扫描
最新发布
linchuanzhi_886的专栏
04-20 783
质量是保证产品和服务满足顾客需求的关键,真正的好产品,是能以用户为中心,和用户做朋友的。作为开发人员,除了保证产品基础功能正常外,还要保证高标准的代码质量。代码质量可以从代码的严谨性、可读性、可维护性、健壮性、性能和效率代码覆盖度、易测性、可移植性几个方面的评价。严谨性:指的是逻辑严谨,代码逻辑要符合运行预期。在这一环节,要避免内存泄漏、句柄泄漏、使用恰到的同步\异步机制等。好的代码质量,在某段代码指令执行后,会产生什么样的动作、内存功耗占用多少都是要符合预期的。
前端静态代码扫描分析( SonarLint SonarQube )
https://shixuebin.gitee.io/hexo-blog/
02-02 1837
静态代码分析是在源代码上执行的一系列自动检查​ 静态分析工具会扫描代码,查找常见的已知错误和漏洞,例如内存泄漏或缓冲区溢出。这一分析还可以强制执行编码标准。静态分析只能识别违反预编程规则的实例,不能仅通过阅读源代码找出所有缺陷。也存在误报的风险,因此需要对结果进行解释。​ 从这个意义上说,静态代码分析是代码审查的有价值补充,因为它突出了已知的问题,并为对整体设计和方法的审查等更有趣的任务腾出了时间。
静态代码扫描
陈高爽的博客
04-28 7822
静态代码分析(Static program analysis):在不运行程序的条件下,进行程序分析。 编译流程差不多分为这5个阶段: 词法分析生成token流语法分析生成抽象语法树针对抽象语法树进行语义分析,构建内部数据结构,如控制流图、生成中间代码代码优化目标代码生成 静态代码扫描通常分为两种: 模式匹配:匹配代码编译过程中的token流、抽象语法树(
静态代码分析工具清单:开源篇
liwg06
02-21 8041
本文是一个静态代码分析工具的清单,共有26个工具。包括4个.NET工具、2个Ada工具、7个C++工具、4个Java工具、2个JavaScript工具、1个Opa工具、2个Packaging工具、3个Perl工具、1个Python工具。
Android静态代码扫描效率优化实践,大厂Android开发面试解答
wa32saa的博客
01-20 751
通过对Task耗时排序,主要的耗时体现在FindBugs和Lint对每一个Module的扫描任务上,CheckStyle任务并不占主要影响。整体来看,除了工具本身的扫描时间外,耗时主要分为多Module、多Variant带来的任务数量耗时。 优化思路分析 对于工具本身的扫描时间,一方面受工具自身扫描算法和检测规则的影响,另一方面也跟扫描的文件数量相关。针对源码类型的工具比如CheckStyle和Lint,需要经过词法分析、语法分析生成抽象语法树,再遍历抽象语法树跟定义的检测规则去匹配;而针对字节码文件的工.
Android静态代码扫描效率优化实践,看完这篇
m0_66264673的博客
02-17 2002
scope.add(PROGUARD_FILE) } else if (name.endsWith(DOT_PROPERTIES)) { scope.add(PROPERTY_FILE) } else if (name.endsWith(DOT_PNG)) { scope.add(BINARY_RESOURCE_FILE) } else if (name == RES_FOLDER || file.parent == RES_FOLDER) { scope.add(ALL_RESOURCE_FILES) s
Android APP crash隐患静态代码扫描工具—godeyes
08-19
Android APP crash隐患静态代码扫描工具—gode
解析Android开发优化之:从代码角度进行优化的技巧
01-05
下面我们就从几个方面来了解Android开发过程中的代码优化。 1)静态变量引起内存泄露 在代码优化的过程中,我们需要对代码中的静态变量特别留意。静态变量是类相关的变量,它的生命周期是从这个类被声明,到这个类...
静态代码扫描工具TscanCode.zip
07-27
静态代码扫描工具TscanCode
常用Java静态代码分析工具的分析与比较
03-04
本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有4种主流Java静态代码分析工具(Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发...
静态代码扫描平台实践.pdf
08-01
静态代码扫描平台实践
Android静态代码扫描效率优化实践
03-16 925
FindBugs是一个静态分析工具,它检查类或者JAR 文件,通过Apache的BCEL库来分析Class,将字节码与一组缺陷模式进行对比以发现问题。FindBugs自身定义了一套缺陷模式,目前的版本3.0.1内置了总计300多种缺陷,详细可参考官方文档。FindBugs作为一个扫描的工具集,可以非常灵活的集成在各种编译工具中。接下来,我们主要分析在Gradle中FindBugs的相关内容。本文在开源项目GitHub中。
【项目实战】使用DevOps工具链SonarQube实现静态代码扫描,并且导出相应的报告
本本本添哥
04-22 1283
下面是它们的区别:静态代码扫描是一种分析源代码的方法,它不需要运行代码。 它通过检查代码中的语法、结构和规则来查找潜在的问题。 静态代码扫描可以自动化执行,并且可以在代码提交之前或在构建过程中进行。 它可以帮助开发人员发现代码中的潜在问题,并提供修复建议。在Java中,您可以使用静态代码分析工具,例如Sonar、FindBugs或Checkstyle,来执行静态代码扫描。 这些工具可以检查代码中的常见问题,例如空指针引用、未使用的变量和不良的代码风格。动态代码扫描是一种分析正在运行的代码的方法。 它通过模拟
基于sonar 的C#静态代码扫描使用总结
lw的博客
09-04 1318
C#语言接入Sonar代码静态扫描相较于Java、Python来说,相对麻烦一些。Sonar检测C#代码时需要预先编译,而且C#代码必须用MSbuid进行编译,如果需要使用SonarQube对C#进行代码质量分析,则需要Sonar-Scanner-MSBuild和MSBuild,其中要求MSBuild在V14.0以上。
程序员技能与成长:使用静态代码分析工具和代码审查
2401_83384536的博客
03-25 1002
静态代码分析是指在不运行计算机程序的条件下进行程序分析的方法。静态代码分析仅通过分析代码的词法、语法、语义、控制流等来检查代码的正确性,帮助软件开发人员、质量保证人员查找代码中的结构性错误、不符合代码规范的地方、安全漏洞等,从而保证软件的整体质量。在进行静态代码分析时不需要运行被测试的代码,所以一般在编码阶段就可以发现问题。在整个软件开发生命周期中,大概有30%~70%的代码逻辑设计和编码缺陷是可以通过静态代码分析发现和修复的。
10个静态代码检查工具
pantouyuchiyu的博客
07-17 5279
静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。
静态代码扫描工具java_静态代码扫描工具
05-13
Java的静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的代码规范和潜在的性能问题。 3. Checkstyle:是一个开源的代码规范检查工具,可以帮助开发人员遵循Java代码的规范。 4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:也是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 以上工具都有各自的特点和优缺点,可以根据实际需要选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值