java 代码扫描_静态代码扫描 (四)——Java 资源关闭研究

最新推荐文章于 2024-08-13 06:00:00 发布
最新推荐文章于 2024-08-13 06:00:00 发布
阅读量401 收藏
点赞数
文章标签: java 代码扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33485981/article/details/114425889
版权

这是静态代码扫描系列文章的第四篇,前三篇文章介绍了如何使用 PMD 和 Findbugs 自定义规则。

我们火线团队最近一直在研究 java 资源关闭的检查规则,发现市面上开源的工具针对资源关闭的检测都存在一定不足,同时也无法满足我们业务的需求。所以我们针对资源关闭进行了深度的研究,取得了一些不错的进展,但是过程的艰辛也远超了我们的预料。现在就跟大家聊聊我们的心路历程,从为什么开始。

1. 为什么要手动关闭 Java 资源对象?

首先解释 Java 的资源对象,它主要包括 IO 对象,数据库连接对象。比如常见的 InputStream、OutputStream、Reader、Writer、Connection、Statement、ResultSet、Socket 等等,先代码列举一个示例:

FileInputStream f = new FileInputStream("sample.txt");

f.close();//f对象即需要手动关闭的资源对象

上述代码中 f 对象即需要手动关闭的资源对象。

如果类似的资源对象没有及时的手动关闭,这个对象就会一直占据内存,当这样的对象越来越多,那内存被占用的就会越来越多,久而久之就可能造成 OutOfMemory,俗称内存溢出。

41fd83977db98796280672600b42ef1f.png

这时应该有人会问,Java 不是有自己的垃圾回收机制 GC 么?不是可以自动回收么?

这个问题问的好,我也一度非常困惑。

首先我们先了解一下 GC 的原理:

在 Java 中,当没有对象引用指向原先分配给某个对象的内存时,该内存便成为垃圾。JVM 的一个系统级线程会自动释放该内存块。垃圾回收意味着程序不再需要的对象是"无用信息",这些信息将被丢弃。当一个对象不再被引用的时候,内存回收它占领的空间,以便空间被后来的新对象使用。

0a8ff0df659862f84c5779b9ff2efa5d.png

首先 GC 只能回收内存。至于各种 stream 之类,他们下边一般还开启了各种其他的系统资源,比如文件,比如输入输出设备(键盘/屏幕等),等等。而这些设备第一是不能自动关闭(因为谁知道你程序要用它到什么时候啊),另一个系统内数量有限(比如键盘/屏幕同一时间只有一个)。最后,文件和数据库连接之类的东西还存在读写锁定的问题。这些都导致用户必须手动处理这些资源的开启和关闭。

其次为了 “避免” 程序员忘了自己释放那些资源,Java 提供了 finalizer、PhantomReference 之类的机制来让程序员向 GC 注册 “自动回调释放资源” 的功能。但 GC 回调它们的时机不确定,所以只应该作为最后手段来使用,主要手段还是自己关闭最好。

PS:关于 GC 其实有很多的知识可以深度挖掘,比如各种回收算法,finalize() 方法等等,大家感兴趣的话可以自行搜索研究,我就不班门弄斧了。

2. 怎样正确的手动关闭 Java 资源对象?

先说一种最常见的关闭方式,在 finally 中进行关闭:

FileInputStream f;

try{

f= new FileInputStream("sample.txt");

//something that uses f and sometimes throws an exception

}

catch(IOException ex){

/* Handle it somehow */

}

finally{

f.close();

}

这里在 finally 中进行资源对象关闭属于 Best Practice。因为即使对象 f 在使用的过程中出现异常,也能保证程序不会跳过后续的关闭操作。

特别注意,自从 Java1.7 开始,支持了 try-with-resources 写法,即将资源对象声明的过程放在 try() 的括号里面,这样 java 在资源对象使用完成之后会自动关闭。

try (

FileOutputStream fileOutputStream = new FileOutputStream("E:\\A.txt");

BufferedOutputStream bufferedOutputStream = new BufferedOutputStream(fileOutputStream);

DataOutputStream out = new DataOutputStream(bufferedOutputStream)

)

{

out.write(data1);

} catch (Exception e) {

// TODO: handle exception

}

另外还有一些第三方库提供了一些统一的关闭处理方法,例如

import org.apache.commons.io.IOUtils;

public static void main(String[] args) throws Exception{

FileOutputStream fileOutputStream = null;

BufferedOutputStream bufferedOutputStream=null;

DataOutputStream out=null;

byte[] data1 = "这个例子测试文件写".getBytes("GB2312");

try {

fileOutputStream = new FileOutputStream("E:\\A.txt");

bufferedOutputStream = new BufferedOutputStream(fileOutputStream);

out = new DataOutputStream(bufferedOutputStream);

out.write(data1);

} catch (Exception e) {

// TODO: handle exception

} finally {

IOUtils.closeQuietly(out);

}

}

这个 apache 提供的 IOUtils 类库可以通过 IOUtils.closeQuietly(e) 的形式关闭资源对象,实际内部实现依然是调用.close() 方法。内部实现代码如下:

public static void closeQuietly(final Closeable closeable) {

337 try {

338 if (closeable != null) {

339 closeable.close();

340 }

341 } catch (final IOException ioe) {

342 // ignore

343 }

344 }

以上就是手动关闭 Java 资源对象的几种推荐写法,希望对大家有所帮助。

为防止篇幅过长,这只是系列文章的第一篇,我将在下一篇继续讲述在判断资源关闭时,有哪些不为人知的特殊情况需要考虑。

敬请期待。

参考文献:

360Qtest 团队公众号

关注公众号,第一时间收到我们推送的新文章~

东京不太热
关注
【华为OD机试真题 Java静态代码扫描服务
qq_40642440的博客
03-06 328
静态扫描快速识别源代码的缺陷,静态扫描的结果以扫描报告作为输出: 1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币 2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币 3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果 给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。
java静态代码扫描工具_静态代码扫描工具 - (八)- 扫描Java项目
weixin_42299089的博客
02-13 667
1、准备好Java项目代码只要是java语言实现的项目均可。比如,自动化测试的代码,测试平台等均可以。本次案例,使用java语言实现的测试平台来做为扫描对象。2、了解java项目代码的结构。为什么要了解项目代码结构呢?1)区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。2)sonarQube主要是分析开发人员写的代码质量,对于外部的依赖库这些全部都可以忽略掉。经过与开发人员的沟...
9 个最佳 Java 静态代码分析工具
最新发布
欢迎拜读我的作品,喜欢的领域请给我留言
08-13 1803
使用顶级 Java 静态代码分析工具列表来提高您的代码质量 - 确保您的代码干净、高效且无错误。开发人员如何防止频繁出现应用程序故障?自动化分析可能是答案。Java 静态代码分析工具有助于检测任何问题或,并通过自动化代码审查流程来帮助提高我们将探索一些市场上最好的工具,这些工具可以增强工作流程并创建更强大的代码。什么是静态代码分析?静态代码分析是一种无需执行源代码即可对其进行检查的技术。通过根据编码规则分析代码集,这种高级静态分析工具可以读取代码中的错误并确保其符合标准和最佳实践。
静态代码扫描)——Java资源关闭研究
oggboy的专栏
05-05 712
最近一直在研究java资源关闭的检查规则,发现市面上开源的工具针对资源关闭的检测都存在一定不足,同时也无法满足我们业务的需求。所以火线团队针对资源关闭进行了深度的研究,取得了一些不错的进展,但是过程的艰辛也远超了我们的预料。现在就跟大家聊聊我们的心路历程,从为什么开始。 1. 为什么要手动关闭Java资源对象?首先解释Java资源对象,它主要包括IO对象,数据库连接对象。比如常见的InputStr
JAVA静态代码扫描参考文章
Websec
11-11 343
1、使用Gitlab+Jenkins+SonarQube实现代码审计指南:https://bloodzer0.github.io/ossa/other-security-branch/devsecops/gjs/#_3 2、SonarQube安全漏洞扫描:https://zhuanlan.zhihu.com/p/79186106 3、find-sec-bugs静态代码审计:https://www.anquanke.com/post/id/154476 4、find-sec-bugs开源代码以及博客:http
java 静态扫描,开发JAVA白盒测试静态扫描器必备基础
weixin_36004568的博客
03-21 491
开发JAVA白盒测试静态扫描器必备基础JAVA白盒测试静态扫描器能够在代码不运行的情况下,扫描我们的java代码是否存在bug.我们能够在扫描工具嵌入到eclipse开发工具中,让开发实时的扫描,也能够在ant下批量后台的扫描。现在静态测试已经经过一定的时间了,已经深深的得到了开发的喜欢。更主要的原因是工具让他们即时的发现了代码的问题。同时也给我们开发更多的检查机制带来了更大的信心。JAVA白盒测...
静态代码扫描Java资源对象关闭的探究
oggboy的专栏
12-13 1008
本人在探究静态代码扫描资源对象关闭规则遇到了一些疑惑,本文将这些疑惑记录下来并逐一找出解答。 包括在哪些情况下,这些资源对象需要手动关闭,怎么正确的关闭,哪些情况下不需要手动关闭,以及为什么。 资源对象包括很多种,本文重点关注输入输出流对象和数据库连接对象。 一、正确的关闭资源对象的写法 第一种写法: public static void main(String[] args) thr
java 静态扫描_静态代码扫描工具 – (八)- 扫描Java项目
weixin_32312081的博客
02-16 1096
静态代码扫描工具 – (八)- 扫描Java项目1、准备好Java项目代码只要是java语言实现的项目均可。比如,自动化测试的代码,测试平台等均可以。本次案例,使用java语言实现的测试平台来做为扫描对象。2、了解java项目代码的结构。为什么要了解项目代码结构呢?1)区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。2)sonarQube主要是分析开发人员写的代码质量,对于外部...
pmd java规则_静态代码扫描 (一)——PMD 自定义规则入门
weixin_33883104的博客
02-16 1715
阅读该文章前,最好已经对 PMD 有了初步的认识和了解,可参考静态分析工具 PMD 使用说明准备工作首先在PMD 官网下载最新版本的文件,目前最新版本是 5.4.1。下载 pmd-bin-5.4.1.zip 和 pmd-src-5.4.1.zip 之后解压备用。pmd-src-5.4.1 是 PMD 源码包,是无法直接执行的。pmd-bin-5.4.1 是 PMD 的可执行包。目录简介pmd-bi...
d盾,代码扫描工具,可以扫描文件 java代码 war包漏洞!
05-09
【标题】:“d盾——强大的代码安全扫描利器” 在当今的IT行业中,代码安全是至关重要的,特别是对于使用Java语言开发的应用程序来说。"d盾"是一款专为开发者设计的代码扫描工具,它能有效帮助检测和预防Java代码...
端玛企业级静态代码扫描分析服务平台——DMSCA
weixin_42400722的博客
06-06 1809
      DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上,联合多所国内及国际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源代码缺陷的发展势态和市场后,研发出的新一代源代码企业级分析方案,旨在从根源上识别、跟踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的...
编译原理java源程序的输入与扫描
10-21
源程序的输入与扫描,是我个人学习编译原理时做的一个简单的程序 有不足之处请谅解!!
java代码质量检测工具包含findbug、pmd插件等
07-30
myeclipse插件java代码质量检测 findbug pmd可以发现代码中的问题,实现自动的检测和优化代码,sourcecounter可以统计代码
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1135
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
静态代码分析工具sonarlint使用一——windows下的makefile工程
security²-卢鸿波-安全二次方
06-09 878
本文以windows下makefile工程初步介绍了静态代码扫描工具sonarlint的使用,如何自动生成compile_commands.json脚本文件,如何查看扫描结果、分析问题、规则配置等。
Java代码静态代码检查checkstyle
快乐江小鱼的博客
02-03 1583
checkstyle配置要插入到哪些模块,模块是树形结构,Checker模块是根。下一级别的模块包含FileSetChecks(接收一组输入文件并触发错误消息的模块)、Filters(过滤审查件如错误消息的模块)、AuditListeners(报告接收到的事件的模块)。TreeWalker的操作方法是将每个Java源文件转化为抽象语法树,把结果传递给子模块检查树中的某些方法。给模块属性设置非默认值,定义module元素的property子元素,也要提供name和value属性。(2)加载预定义包中的类。
Java静态扫描工具
xiaohanjiang的博客
06-01 483
   今天Java静态扫描工具1.2.0终于发布了。    Findbugs是一款JAVA代码静态分析器,能够在程序不运行的情况下扫描class文件。 扫描的过程中对被扫描的文件进行智能的分析,判断是否存在某些潜在的bug.如果 扫描发现跟预先定义的bug规则一致,那么就会报告bug.这些bug规则,来源于JAVA 开发经验的最优总结,包括网上流行的经验、《effective java》、...
静态代码扫描(五)——Java资源关闭的特殊场景
oggboy的专栏
05-12 1072
在上一篇文章中,我主要介绍了为什么要手动关闭Java资源对象和怎样正确的手动关闭Java资源对象。这篇文章将继续分享在判断Java资源关闭时,有哪些特殊的场景。 1. 当开发使用自定义类进行资源对象关闭时,需要跨类追踪资源对象是否关闭。在使用火线扫描本公司的项目代码时,发现几乎所有的项目都会使用自定义的类来统一管理资源关闭。例如:/** * 资源回收工具类 */ public final cla
【满分】【华为OD机试真题2023 JAVA&JS】静态代码扫描服务
qq_34465338的博客
01-05 3615
静态代码扫描服务 知识点数组字符串哈希表时间限制:1s空间限制:256MB限定语言:不限 题目描述:静态扫描快速快速识别源代码的缺陷,静态扫描的结果以扫描报告作为输出:1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币 2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币 3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果 给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。
静态代码扫描工具java_静态代码扫描工具
05-13
Java静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值