安全漏洞检测工具保证程序员开发出高质量多线程代码

最新推荐文章于 2022-12-10 09:45:28 发布
最新推荐文章于 2022-12-10 09:45:28 发布
阅读量510 收藏
点赞数 2
分类专栏: 代码安全 文章标签: 多线程开发 多线程调试 代码检测 安全漏洞 多线程安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manok/article/details/93345522
版权

这是Cert Java中的一段源代码,如果是在多线程中环境中,该段代码的执行结果可能不是我们想要的结果。

final class ControlledStop implements Runnable {

  private boolean done = false;

  

  @Override public void run() {

    while (!done) {

      try {

        // ...

        Thread.currentThread().sleep(1000); // Do something

      } catch(InterruptedException ie) {

        Thread.currentThread().interrupt(); // Reset interrupted status

      }

    }   

  }

   public void shutdown() {

    done = true;

  }

}

程序中run方法的目的是在while循环条件中判断变量done的值为false时,执行相关的处理后,休眠1秒钟。但是在另一个方法shutdown中会修改done的值,如果是上述代码运行在多线程环境下,则while循环条件的值被修改,则可能出现不是想要达到的目的,所以需要把控制循环的变量done进行读写同步控制。

那么为什么会出现这种情况下?这跟多线程的运行机制有关。多线程程序运行时,线程在进程的堆中创建栈空间后,线程会在自己的栈空间内执行。通过判断done的真假来决定是否只需要循环体。如果另一个线程修改了done的值,这个修改的值何时同步到主内存是未知的,可能由cpu调度执行,或可能在堆空间不够时释放前写入到主内存等。每个线程在创建时,线程栈中的变量取值是在线程创建时从主内存拷贝过来的值。上述程序中,线程对done值的改变是不可见的,换句话说,就是done的值改变了,当前线程进行判断时,不知道done的值已经被改变,这是否是程序想要实现的功能是未知的。

在多线程编程中,采用volatile变量、锁、原子变量等机制进行同步的目的是保证对同步代码块的执行是可见的。线程同步的目的,是让每个线程都清楚其它线程对变量的改变,所以对上述代码要进行同步处理。

第一种修复方案是,使用volatile修饰符声明done变量,代码如下:

final class ControlledStop implements Runnable {

  private volatile boolean done = false;

  

  @Override public void run() {

    while (!done) {

      try {

        // ...

        Thread.currentThread().sleep(1000); // Do something

      } catch(InterruptedException ie) {

        Thread.currentThread().interrupt(); // Reset interrupted status

      }

    }   

  }

   public void shutdown() {

    done = true;

  }

}

volatile修饰done变量后,done值的改变都会写回主内存,这样相当于对其它线程可见。线程读取done值时,要去主内存取当前最新值,这样基本上保证了同步。但是如果volatile修饰的是long或double类型,则执行起来不一定是程序想要的结果。因为上面类型都是64位的,无法在一个时钟周期内完成。如果是在两个时钟周期内完成修改值,则可能要等到下一个cpu执行时间片才能执行,这样导致结果也是未知的。所以最好使用锁的方法进行同步。代码如下:

final class ControlledStop implements Runnable {

  private boolean done = false;

  

  @Override public void run() {

    while (!isDone()) {

      try {

        // ...

        Thread.currentThread().sleep(1000); // Do something

      } catch(InterruptedException ie) {

        Thread.currentThread().interrupt(); // Reset interrupted status

      }

    }   

  }

 

  public synchronized boolean isDone() {

    return done;

  }

  public synchronized void shutdown() {

    done = true;

  }

}

对done的修改和取值全部添加锁,在循环判断中通过获取锁的形式,保证获取到最新的done值。保证对done修改及时可见。这种修改后,当前只有一个线程的一个方法获取锁,保证修改或读取done的值同步。因为线程获取锁时,JMM会把该线程对应的栈工作空间内存设置为无效,从而使得监视器保护的临界区代码要从主内存中去读取共享变量。当线程释放锁时,也就是退出锁下面的可执行代码时,都会把线程栈工作空间的共享变量刷新到主内存,保证了数据同步可见。

在多线程编程中,编写代码和调试代码给程序员带来了诸多挑战,由于线程执行调度的复杂性,导致一些问题可能需要调试多次,也不一定能够复现。还好,我们可以借助一款源代码安全漏洞检测工具-CoBOT,通过CoBOT检测,找到上面代码中的潜在风险,根据报告的问题,我们再去判断和分析,这样对于编写和调试多线程程序可以节省大量时间。

(完)

 

manok
关注
专栏目录
Java必知必会系列:代码质量与重构技术
程序员光剑
10-06 798
软件开发是一个复杂、迭代、交流、学习、实践的过程,它的目的就是为了通过快速构建、可测试性强、灵活可靠的软件产品来解决用户需求。开发者需要不断总结和应用最佳工程实践方法、工具、框架和平台,在不断优化完善过程中不断提升自身能力和竞争力。因此,写高质量代码至关重要,没有好的编程习惯,代码质量无法保证软件应用的可靠性和稳定性。开发者需要从各种角度来进行深入思考,提升自己的编程技能、工作态度、知识结构和素养。
大语言模型应用指南:执行Python代码
最新发布
程序员光剑
06-09 972
随着人工智能技术的快速发展,大语言模型(Large Language Models,LLMs)已经成为了自然语言处理领域的重要突破。这些模型不仅能够理解和生成人类语言,还能够理解和生成代码。在众多编程语言中,Python因其简洁、易读、功能强大的特性,成为了大语言模型与编程结合的首选语言之一。本文将深入探讨如何利用大语言模型执行Python代码,包括其原理、实现方法、安全考虑以及性能优化等方面。我们将以实际案例和代码示例来阐述这一过程,帮助读者更好地理解和应用这一强大的技术。
JAVA性能瓶颈和漏洞检测工具
01-17
JAVA性能瓶颈和漏洞检测工具
测试多线程工具代码
小屁孩的博客
10-21 241
JucUtil。timeTasks(线程数,执行次数,new Runnable())
编写高质量代码 - 多线程和并发(1)
及时当勉励,岁月不待人
12-10 568
编写高质量代码 - 多线程和并发(1)
编写高质量代码:改善Java程序的151个建议(第8章:多线程和并发___建议122~125)
weixin_34087307的博客
10-18 92
建议122:使用线程异常处理器提升系统可靠性   我们要编写一个Socket应用,监听指定端口,实现数据包的接收和发送逻辑,这在早期系统间进行数据交互是经常使用的,这类接口通常需要考虑两个问题:一个是避免线程阻塞,保证接收的数据尽快处理;二是:接口的稳定性和可靠性问题,数据包很复杂,接口服务的系统也很多,一旦守候线程现异常就会导致Socket停止,这是非常危险的,那我们有什么办法避免吗?  ...
编写高质量代码:改善Java程序的151个建议(第8章:多线程和并发___建议118~121)
weixin_34268610的博客
10-18 149
  多线程技术可以更好地利用系统资源,减少用户的响应时间,提高系统的性能和效率,但同时也增加了系统的复杂性和运维难度,特别是在高并发、大压力、高可靠性的项目中。线程资源的同步、抢占、互斥都需要慎重考虑,以避免产生性能损耗和线程死锁。 建议118:不推荐覆写start方法   多线程比较简单的实现方式是继承Thread类,然后覆写run方法,在客户端程序中通过调用对象的start方法即可启动一个...
"高性能工业静态分析:源代码模型检查验证工具在软件缺陷检测中的应用
nicta.com.au摘要用于软件缺陷检测的静态源代码分析自其作为编译器技术的早期开始以来已经走过了漫长的道路然而,随着更复杂的算法技术的引入,如模型检查和约束求解,性能问题是一个主要的问题。在这项工作中,...
C 语言中的静态代码分析工具与安全检测
# 1. C 语言静态代码分析工具简介 ## 1.1 什么是静态代码分析工具? 静态代码分析工具是一种可以在不执行代码的情况下对代码...- **Cppcheck**:Cppcheck是一个开源的C/C++代码静态分析工具,可以检测代码中的诸多
pclint内存检测工具
10-20
它在软件开发过程中扮演着重要的角色,能够帮助程序员发现潜在的内存泄漏、未初始化的变量、越界访问等问题,从而提升代码质量和可靠性。 1. **内存泄漏检测** 内存泄漏是程序开发中的常见问题,PCLint通过跟踪...
JAVA代码检查工具(开源)
12-04
JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源)
JWebScan,Java版网站漏洞扫描器
01-23
JWebScan,Java版网站漏洞扫描器
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
K8漏洞检测工具
12-12
K8一直都为Struts2的开发者提供对自己程序漏洞检测功能,但是官方网站下载不稳定,下载解压即可使用哟
编写高质量代码:改善Java程序的151个建议(第8章:多线程和并发___建议126~128)
weixin_33755649的博客
10-19 103
建议126:适时选择不同的线程池来实现   Java的线程池实现从根本上来说只有两个:ThreadPoolExecutor类和ScheduledThreadPoolExecutor类,这两个类还是父子关系,但是Java为了简化并行计算,还提供了一个Exceutors的静态类,它可以直接生成多种不同的线程池执行器,比如单线程执行器、带缓冲功能的执行器等,但归根结底还是使用ThreadPoolExe...
多线程情况下双重检查锁定问题的分析与优化
犁叔的博客
07-25 662
双重检查锁定(Double-Checked Locking)的由来 Java程序中,有时候需要推迟一些高开销对象的初始化操作,等到使用的时候才进行对象初始化。双重检查锁定是一种常见的延迟初始化技术。但是在多线程情况下,使用不当很容易现问题。下面就来分析一下非线程安全的一段代码: public class DoubleCheckedLocking { private static I
检查线程是否安全的小工具
superarhow的专栏
03-03 1046
本文介绍一个检查多线程逻辑是否安全的小工具,并提供源码下载
多线程详解和代码测试
diantu6020的博客
07-14 128
1:多线程 (1)多线程:一个应用程序有多条执行路径 进程:正在执行的应用程序。 是系统进行资源分配和调用的独立单元。每一个进程都有他自己的内存空间和系统资源 线程:进程的执行单元,执行路径。 在同一个进程内又可以执行多个任务,而这每一个任务就可以视为一个线程。 单线程:一个应用程序只有一条执行路径 多线程:一个应用程序有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值