spotbug扫描java代码问题

已于 2022-03-22 17:01:51 修改
阅读量1.2k 收藏
点赞数
分类专栏: 其他 文章标签: intellij-idea
于 2022-03-03 10:26:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdd668/article/details/123199868
版权

spotbug检查提示

Random object created and used only once

代码:

for (int i = 0; i < 1; i++) {
			sb.append(numberArr[r.nextInt(numberArr.length)]);
		}

 Random object created and used only once
This code creates a java.util.Random object, uses it to generate one random number, and then discards the Random object. This produces mediocre quality random numbers and is inefficient. If possible, rewrite the code so that the Random object is created once and saved, and each time a new random number is required invoke a method on the existing Random object to obtain it.
If it is important that the generated Random numbers not be guessable, you must not create a new Random for each random number; the values are too easily guessable. You should strongly consider using a java.security.SecureRandom instead (and avoid allocating a new SecureRandom for each random number needed).

itemsViewJson(, int, int, int) may expose internal representation by returning ontroller.paginationResult

May expose internal representation by returning reference to mutable object
Returning a reference to a mutable object value stored in one of the object's fields exposes the internal representation of the object.  If instances are accessed by untrusted code, and unchecked changes to the mutable object would compromise security or other important properties, you will need to do something different. Returning a new copy of the object is better approach in many situations.

返回对存储在对象某个字段中的可变对象值的引用会暴露对象的内部表示。如果实例被不受信任的代码访问,并且对可变对象未经检查的更改会损害安全性或其他重要属性,那么您需要做一些不同的事情。在许多情况下,返回对象的新副本是更好的方法。 

Field is a mutable array

如:

protected static final String [] COLUMN_NAMES = new String[]{"date","customerNumber","customerName",
            "account","emailAdress","mobilePhoneNumber","emailStatus"};

检查会提示数组不是能修改

处理方法:

private static final String [] COLUMN_NAMES = new String[]{"date","customerNumber","customerName",
        "account","emailAdress","mobilePhoneNumber","emailStatus"};

protected static List<String> getColumnNames() {
    return Collections.unmodifiableList(Arrays.asList(COLUMN_NAMES));
}

将数组转为私有的 再使用Collections.unmodifiableList 不修改数组的方法返回

引用 :java - Mutable fields should not be "public static" - Stack Overflow

wdd668
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态代码走查的IntelliJ IDEA 安装使用 FindBugs
08-28 1018
前言 bug无处不在,但是我们总希望少一点bug,项目越来越大,开发人员越来越多代,码审查工作会变得越来越复杂,对代码质量控制难度也与日俱增,尽管经验丰富的程序员能审查能检查出大部分问题,但也得耗费巨大的人力成本,并且大多数大家工作都比较饱和,并不是每天都能坚持提交代码到SVN库前都能进行审查、所以我们可以通过一些必要的检查工具来去发现程序潜在的bug,...
objenesis:好的,通过标准反射在Java中实例化对象非常容易。 但是,在许多情况下,您需要超越反射提供的功能。 例如,如果没有公共构造函数,则要绕过构造函数代码或设置final字段。 有很多聪明(但很古怪)的方法来解决这个问题,并且该库提供了一种简单的方法来解决这些问题。 您可以在这里找到官方网站
05-13
肥胖症 Objenesis是一个专门用于在创建对象时绕过构造函数的库。 在任何JVM上都有。 您可以在找到网站和用户文档。...此构建将创建源jar和Javadoc jar并运行spotbug。 mvn install -Pfull 运行特殊版本 运行
Random和SecureRandom详解
热门推荐
笑看人生的专栏
02-09 2万+
[H B BC] Random object created and used only once [DMI_RANDOM_USED_ONLY_ONCE] This code creates a java.util.Random object, uses it to generate one random number, and then discards the Random object
spotbugs-4.2.0.zip
01-18
SpotBugs是Findbugs的继任者,,使用静态分析来查找Java代码bug。是一款自由软件,按照GNU Lesser General Public License 的条款发布。
spotbugs,spotbug是findbugs的继承者。一种静态分析工具,用于查找Java代码中的错误。.zip
10-13
SpotBugs is the spiritual successor of FindBugs, carrying on from the point where it left off with support of its community. SpotBugs is licensed under the GNU LESSER GENERAL PUBLIC LICENSE. More information at the official website. A lot of things can still be found at the old FindBugs website. Bui
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4330
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
提升代码质量,使用插件对 java 代码进行扫描检查分析
西凉的悲伤博客
03-22 2675
maven-checkstyle-plugin 插件对 java 代码进行检查很多时候我们的代码写的不规范,比如没缩进、参数间没空格、导入的包没用到没删除、方法很长没有进行拆分、 直接对方法参数进行了赋值分配等等不规范的操作或写法。为了规范代码并提高代码的质量,以及扫描代码检测潜在的不合理代码,我们可以使用一些插件来进行代码扫描分析。maven-checkstyle-plugin 是 maven 提供的一个插件,用于扫描代码检测不合理需要改进的差代码
sonar 代码质量检查问题分析(二)
极客编程的专栏
03-15 8431
Mutable fields should not be "public static" 可变字段不应该是public static 不合规 public interface ...
FindBugs 描述大全
java_cn9527的博客
05-15 2437
FindBugs Bug Descriptions This document lists the standard bug patterns reported byFindBugsversion 3.0.1. Descriptions BC: Equals method should not assume anything about the type of its argument (BC_EQUALS_METHOD_SHOULD_WORK_FOR_ALL_OB...
IDEA插件:FindBugs-- 在Java程序中查找错误
琦彦
03-18 1万+
FindBugs安装 环境要求 FindBugs是一款静态分析工具,检查程序潜在bug,在bug报告中快速定位到问题代码上。 FindBugs 运行需要 1.7 或更高版本的 JRE(或 JDK),但是它可以分析从任何版本的 Java 编译的程序,从1.0 到 1.8 IDEA安装FindBugs插件 在IDEA的设置(Settings)中搜索FindBugs-IDEA ...
sonar代码检查_sonar 代码质量检查问题分析(二)
weixin_39607873的博客
12-08 1262
Mutable fields should not be "public static"可变字段不应该是public static不合规public interface MyInterface { public static String [] strings; // Noncompliant}public class A { public static String [] strings1 ...
sonar-findbugs:SonarQube的SpotBugs插件
05-04
配置可以使用声纳Web界面(请参见“常规/ Java”部分)或项目属性来配置此插件。 置信度级别(sonar.findbugs.confidenceLevel):指定报告问题的置信度阈值(以前称为“优先级”)。 如果设置为“低”,则置信度...
FindBugs规则整理-下
dingnate的专栏
01-20 1万+
86.RV: Method ignores return value (RV_RETURN_VALUE_IGNORED) 该方法的返回值应该进行检查。这种警告通常出现在调用一个不可变对象的方法,认为它更新了对象的值。例如:String dateString = getHeaderField(name); dateString.trim(); 程序员似乎以为trim()方法将更新dateStr
Findbugs中的BUG:May expose internal representation by returning reference to mutable object 引发问题说明
北辰之北灬的博客
09-27 1万+
在使用IDEA的findbugs的插件检测model层类的时候发生如下错误: May expose internal representation by returning reference to mutable object Returning a reference to a mutable object value stored in one of the object's field...
findBugs Java类date属性get,set方法报错
行走在这人间正道上、为了生存、为了理想。
06-19 4102
Returning a reference to a mutable object value stored in one of the object's fields exposes the internal representation of the object.  If instances are accessed by untrusted code, and unchecked chan...
代码质量解决记录
Sunrise的专栏
05-30 1203
题记 按照公司内部搭建的代码质量平台,修复项目中存在的问题,本篇文章记录一些修改这些问题的一些理解。 问题 静态变量不要在构造函数中赋值 规则详细描述: Assigning a value to a static field in a constructor could cause unreliable behavior at runtime since it will chang...
# 代码质量控制和代码质量相关工具说明
不积跬步,无以至千里;不积小流,无以成江海
06-21 2658
代码质量检测工具及说明
IDEA - java.lang.OutOfMemoryError: Java heap space / insufficient memory
qq_42403042的博客
05-08 32
java: OutOfMemoryError: insufficient memory java: OutOfMemoryError: Java heap space
在IDEA中如何用Kafka进行异步处理
最新发布
m0_64021225的博客
05-08 195
如何利用Kafka或者rabbittemplate对项目进行异步处理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值