关于静态代码分析

最新推荐文章于 2022-10-03 12:11:52 发布
最新推荐文章于 2022-10-03 12:11:52 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: Java技术 @Oracle 文章标签: 代码分析 equals null string bugs java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/psyl/article/details/4657310
版权

  找出代码中已有的缺陷,提高代码质量,排除潜在隐患是每个程序员的责任,不管是入门者还是资深者都被这个问题困扰着。

实际开发中会有特别多的伪问题存在,伪问题就是一些不是问题的问题,也可理解成误报。 本来不是问题的地方被当作成问题,无疑会耽误大量时间去发现和排除。由此可见所以静态代码分析尤为重要。

 

  这里推荐一款我正在使用的工具: Findbugs

 

Find bugs - This is the web page for FindBugs, a program which uses static analysis to look for bugs in Java code. 

 

http://findbugs.sourceforge.net/

 

  它的特点是不重视格式和样式。

 

 

 

 

网上有些资料可供参考:

 

 

下面的列表没有包括  FindBug  可以找到的 所有 问题。相反,我侧重于一些更有意思的问题。
检测器:找出  hash equals  不匹配  
这个检测器寻找与 equals() 和 hashCode() 的实现相关的几个问题。这两个方法非常重要,因为几乎所有基于集合的类 —— List 、 Map 、 Set  等都调用它们。一般来说,这个检测器寻找两种不同类型的问题 —— 当一个类:
  • 重写对象的equals()方法,但是没有重写它的hashCode方法,或者相反的情况时。
  • 定义一个 co-variant 版本的equals()或compareTo()方法。例如,Bob类定义其equals()方法为布尔equals(Bob),它覆盖了对象中定义的equals()方法。因为 Java 代码在编译时解析重载方法的方式,在运行时使用的几乎总是在对象中定义的这个版本的方法,而不是在Bob中定义的那一个(除非显式将equals()方法的参数强制转换为Bob类型)。因此,当这个类的一个实例放入到类集合中的任何一个中时,使用的是Object.equals()版本的方法,而不是在Bob中定义的版本。在这种情况下,Bob类应当定义一个接受类型为Object的参数的equals()方法。
检测器:忽略方法返回值  
这个检测器查找代码中忽略了不应该忽略的方法返回值的地方。这种情况的一个常见例子是在调用 String 方法时,如在清单  1  中:
 1.  忽略返回值的例子
1  String aString = "bob";
2  b.replace('b', 'p');
3  if(b.equals("pop"))
 
这个错误很常见。在第  2  行,程序员认为他已经用  p  替换了字符串中的所有  b 。确实是这样,但是他忘记了字符串是不可变的。所有这类方法都返回一个新字符串,而从来不会改变消息的接收者。
检测器: Null  指针对  null  的解引用( dereference )和冗余比较  
这个检测器查找两类问题。它查找代码路径将会或者可能造成  null  指针异常的情况,它还查找对  null  的冗余比较的情况。例如,如果两个比较值都为  null ,那么它们就是冗余的并可能表明代码错误。 FindBugs  在可以确定一个值为  null  而另一个值不为  null  时,检测类似的错误,如清单  2  所示:
 2. Null  指针示例
1  Person person = aMap.get("bob");
2  if (person != null) {
3      person.updateAccessTime();
4  }
5  String name = person.getName();
 
在这个例子中,如果第  1  行的 Map 不包括一个名为 “bob” 的人,那么在第  5  行询问 person 的名字时就会出现  null  指针异常。因为  FindBugs  不知道  map  是否包含 “bob” ,所以它将第  5  行标记为可能  null  指针异常。
检测器:初始化之前读取字段  
这个检测器寻找在构造函数中初始化之前被读取的字段。这个错误通常是 —— 尽管不总是如此 —— 由使用字段名而不是构造函数参数引起的,如清单  3  所示:


 3.  在构造函数中读取未初始化的字段
1  public class Thing {
2      private List actions;
3      public Thing(String startingActions) {
4          StringTokenizer tokenizer = new StringTokenizer(startingActions);
5          while (tokenizer.hasMoreTokens()) {
6              actions.add(tokenizer.nextToken());
7          }  
8      }
9  }
在这个例子中,第  6  行将产生一个  null  指针异常,因为变量 actions 还没有初始化。
FindBugs 暂时 提供总共  35  个检测器。

 

 

 

psyl
关注
专栏目录
静态代码分析基础知识及分析工具
security²-卢鸿波-安全二次方
08-03 711
一、静态代码分析介绍 二、静态代码分析工具 三、Sonarlint静态代码分析工具介绍 1. 定义 2. 特性 3. SonarQube 的官方文档
前端静态代码扫描分析( SonarLint SonarQube )
https://shixuebin.gitee.io/hexo-blog/
02-02 1915
静态代码分析是在源代码上执行的一系列自动检查​ 静态分析工具会扫描代码,查找常见的已知错误和漏洞,例如内存泄漏或缓冲区溢出。这一分析还可以强制执行编码标准。静态分析只能识别违反预编程规则的实例,不能仅通过阅读源代码找出所有缺陷。也存在误报的风险,因此需要对结果进行解释。​ 从这个意义上说,静态代码分析代码审查的有价值补充,因为它突出了已知的问题,并为对整体设计和方法的审查等更有趣的任务腾出了时间。
加密与解密——抵御静态分析
40KO的博客
01-23 566
抵御静态分析本质上就是降低反汇编代码的可读性,不过这种保护方式通常只是起到了扰乱作用,如果只是单独使用其中一种,那就只是纸老虎而已,理论上通过动态分析的方法,可以完全无视这样的保护,所以这些保护技术需要和其他保护技术相互配合才能达到良好的效果。   花指令 数据与代码的区分是反汇编中的一个关键问题,花指令就是向代码中添加一些无用的数据和代码,使得反汇编器的反汇编结果出现局部不正确的情况,或者...
C++之静态数据成员与静态函数的分析
MessCodes
04-28 1197
先来看一段代码,如下: Point.cpp #include class Point { public : void output() {} static void init() {} } ; void main() { Point pt ; pt.init() ; pt.output() ; } 此段代码写完后
JavaScript开发必备!这四款静态代码分析工具你了解吗?
weixin_43703144的博客
03-08 1473
随着现代软件开发实践的兴起,静态分析的重要性日益增强。静态代码分析使开发人员可以提高代码库的可读性和一致性,同时发现可能的错误和反模式。静态分析工具可帮助我们验证现代开发标准并评估其质量。 世界各地的大多数软件开发团队一直在使用静态代码分析工具。静态代码分析可识别错误和冗余的代码,并在将其投入生产之前对其进行修复。使用自动静态分析,我们不需要依赖动态分析,因为动态分析需要在处理器上执行代码来识别错误。 让我们看一下可以使用的一些最佳JavaScript静态分析工具。 为什么要对JavaScript使用静态
代码静态检测分析技术浅析
manok的专栏
06-06 3416
目前,基于源代码静态检测分析技术,运用越来越广,那么源代码安全检测的技术主要有哪些呢?下面我结合源代码静态分析的发展,技术特点,来分析四种相关技术: 数据流和模式匹配技术 符号执行的分析技术 抽象解释的分析方法 值流分析为主的分析方法 数据流和模式匹配分析技术早期静态分析工具经常采用的技术,包括达到定值分析、支配分析、活跃变量分析静态单赋值技术等,这类分析技术...
库博静态代码分析工具v4.3-用户操作手册.docx
最新发布
05-19
4. **关于 CoBOT**:库博(CoBOT)静态代码分析工具是由北京北大软件工程股份有限公司开发的一款高性能代码分析工具,旨在帮助企业级客户提升软件产品的质量水平。 综上所述,库博静态代码分析工具v4.3以其全面的...
Java静态代码块作用及执行顺序解析
08-19
Java静态代码块作用及执行顺序解析 Java静态代码块是Java语言中的一种特殊代码块,它们在类加载的时候执行,且只执行一次。它们通常用来初始化静态变量、设置静态变量的初始值等。静态代码块的作用域是整个类,而...
[转载]FindBugs,第 1 部分: 提高代码质量
Mr.Left的IT世界
12-17 698
代码质量工具的一个问题是它们容易为开发人员提供大量但并非真正问题的问题——即 伪问题(false positives)。出现伪问题时,开发人员要学会忽略工具的输出或者放弃它。FindBugs 的设计者 David Hovemeyer 和 William Pugh 注意到了这个问题,并努力减少他们所报告的伪问题数量。与其他静态分析工具不同,FindBugs 不注重样式或者格式,它试图只寻找真正的缺陷
第六届“强网杯”全国网络安全挑战赛-青少年专项赛
Moxin1044的博客
09-06 1万+
试卷说明:本次考试共设置30道考题,单选题3分/道,多选题4分/道,满分100分。16、若两台主机在同一子网中,则两台主机的IP地址分别与它们的子网掩码相“与”的结果一定是?10、若两台主机在同一子网中,则两台主机的IP地址分别与它们的子网掩码相“与”的结果一定是?14、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。13、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。11、如果数据包是给本网广播的,那么该数据包的目的IP地址应该是()。
浅析对开源项目的前端部分进行静态代码分析
xxx
10-03 640
可能很多朋友会觉得,前端其实是没有必要进行静态代码分析的,殊不知,往往一些关键点会出现在前端代码中,比如前后端交换加密的算法,以及一些接口的使用方法。分析的源项目地址:ps:是一个利用知识图谱构建知识库的开源项目,领域知识的构建。针对上一篇中的开源项目,这一篇我们开始分析其前端部分的代码。前端部分的代码在studio/webui下,打开目录,我们可以看到这样一个结构:抛开Dockerfile和webui.go这样的构建打包文件不谈,这就是一个前端项目的标准结构。
静态代码分析学习
读书未遍、未敢妄下雌黄
03-28 6533
背景 软件开发过程中,工程师需要花费大量的时间和精力修改代码缺陷。从下图可以看出,在软件开发过程中,测试成本随着设计构建、QA、系统集成阶段的发展在不断增加。因此工程师应该努力在设计开发阶段优化代码、定位修复代码缺陷,这样可以节省大量时间和人力成本。 1 代码静态分析知识 【代码[静态分析](Program Static Analysis)是指在不运行代码的方式下,通过词法分析...
静态代码分析工具汇总
daqinzl的专栏
07-19 1191
<br /> <br />静态代码扫描,借用一段网上的原文解释一下(这里叫静态检查):“静态测试包括代码检查、静态结构分析代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背程序编程风格的问题,包括变量检查、命名和类型审查、程
20159313网络攻击与防范第九周学习总结
weixin_30646505的博客
04-28 3918
网络攻防课本第九章总结 1.恶意代码定义 恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。首先恶意代码是一组指令集,恶意代码的实现方式可以多种多样,如二进制执行文件、脚本语言代码、宏代码,或是寄生在其他代码或启动扇区中的一段指令流。其次,恶意代码的执行目标是由编写者所决定的,满足他们心理上或利益上的一些需求。典型的攻击目标包括但不局限于:单纯的技术炫耀,或恶作剧、远程控...
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1551
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
搞懂静态代码分析,看这文就够了!
热门推荐
CSDN资讯
04-17 1万+
作者 |赖建新来源 |鉴释封图 |东方IC什么是静态代码分析静态代码分析是指在不实际执行程序的情况下,对代码语义和行为进行分析,由此找出程序中由于错误的编码导致异常的程序语义或未...
静态代码分析工具一览
"这篇文章主要汇总了关于静态代码分析工具的信息,包括它们的定义、功能以及一些具体的工具介绍。" 在软件开发过程中,静态代码分析是一种重要的质量保证手段,它无需执行代码即可对源代码进行检查,帮助开发者在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值