常用 Android/Java 静态分析工具分析与比较

最新推荐文章于 2023-03-25 22:07:04 发布
最新推荐文章于 2023-03-25 22:07:04 发布
阅读量437 收藏
点赞数
文章标签: 移动开发 java git
原文链接:https://juejin.im/post/59c9d14451882579e955588d
版权

引言

在 Java 软件开发过程中,开发团队需要花费大量时间精力在发现并修改代码缺陷上。 静态代码分析( static code analysis ) 工具能够在代码构建过程中帮助开发人员快速、有效地定位代码缺陷并及时纠正代码问题,从而极大提高软件可靠性且节省了开发成本和测试成本。现在市场上有很多静态分析工具,选择太多以至于难以确定要引入哪种工具,最近组里正好要在项目内引入静态代码分析,花了些时间对现有几种工具进行调研,本文将分别介绍现有四种主流 Android 静态代码分析工具(Checkstyle、Spotbugs、PMD、Infer),并从功能、特性、自定义等方面对它们进行分析和比较,希望能够供各位选择时提供一些参考。

静态代码分析工具简介

什么是静态代码分析

静态代码分析是指在无需执行程序的情况下即可进行的针对代码正确性、合规性的分析。分析主要分为几种层级:针对源码级别的分析针对中间代码的分析针对编译后字节码的分析。静态分析可作为项目构建的一部分,可选择在构建之后生成问题报告,严谨点可以选择在检测到严重问题时中止构建过程,等待开发人员修复问题后重新构建。

较为关注的分析类型

  • 潜在bug检测 (空指针,内存泄漏,线程安全等)
  • 团队代码风格统一
  • 代码设计缺陷检测
  • 无用、重复代码查找

其他优势

静态代码分析的优势还在于检测速度,由于无须运行(甚至某些检测工具无须编译项目代码),所以检测速度飞快.

分析正文

Checkstyle

主要目的

检测 Java 代码风格是否符合预定编码规则

分析层级

项目分析仅限于语法层面,不需要其他预处理,只会根据代码生成简单抽象语法树(AST)

检测方面

专注于 Java 代码风格方面的检测(无用代码检测,命名、空格、format、代码约定检测,以及过于复杂的表达式等)。对于其他方面比如 bug 的检测算是比较鸡肋,能检测部分有 String.equals 检测的空指针,几种代码设计方面的检测,具体检测类型可见: Class Design

自定义

Checkstyle 普通自定义是建立在现有提供的规则上通过 XML 修改、启用具体规则,简单直观。具体官方的支持检测类型:Checkes.

提供几种参考配置:

如果对现有提供的规则不满意,还可以开发自己的检查规则,检查规则通过 Java 开发,需要了解 Checkstyle 生成的简单 AST,Checkstyle 提供有工具将欲检查的 Java 代码转换为对应的 AST.

具体开发教程:
[Write Custom Rules] (checkstyle.sourceforge.net/writingchec…)

PMD

主要目的

识别代码潜在问题

分析层级

PMD 分析由源码通过 JavaCC 生成的 AST,不要求预先编译

检测方面

PMD 的检测比较全面,不仅能够识别潜在 bug ,还能够检测代码风格方面的问题。

而 PMD 缺点在于其检测仅基于单个文件,整个分析不是针对项目。PMD 对 Java 的检测类型可以观看:PMD Java Rulesets

PMD 对很多主流 IDE、编辑器如 Eclipse、Intellij IDEA、Emacs 等有插件支持,
具体列表见:IDE plugin list

自定义

基础配置也比较简单,和 Checkstyle 相同可以通过 xml 进行简单自定义配置。

自定义规则可以选择通过 JavaXPath 表达式来开发,主要通过分析对应的 AST 结构,找出相符合的规律进行判断。 PMD 有提供 GUI 工具将想检测的代码生成对应 AST,相对来说开发难度不高。

官方自定义规则开发教程:
Write a PMD Rule

Spotbugs(原 Findbugs)

主要目的

识别代码潜在问题

分析层级

Spotbugs 分析编译后的字节码,要求预先编译

检测方面

Spotbugs 专注于 Java 代码的 bug 检测,能够检测多线程、空指针等问题,以及代码设计方面的一些缺陷和一些不好的实现,对于代码的分析不仅仅局限于当前检测的类,在 java 这方面相对来说代码的检测比较全面、准确性更高。因而在这四种工具中,Spotbugs 在检测 bug 方面个人认为是个较好的选择。

Spotbugs 还有很多基于各种 IDE 的插件,笔者在 Android Studio 上面的体验相对来说很不错,对于错误、可能引起的问题说明、修改建议的展示都很直观。

自定义

Spotbugs 的自定义探测器 (Detector) 和 Findbugs 相同,使用 Java 语言开发。开发需要对字节码有一定的了解,因为 Spotbugs 的分析是对字节码的分析,难度相对会高一些,维护成本相应会有所增加,好消息是目前 Spotbugs 已经包含了很多常见的 bug patterns,需要自己开发的地方不会太多。

自定义开发教程:
Implement SpotBugs plugin

Infer

主要目的

识别代码潜在问题

分析层级

分析的是源码经过 Infer 转换成的内部中间代码(转换类似编译),因此 Infer 要求检测前先 Clean 工程

检测方面

项目由 Facebook 开源维护,专注于手机端应用的代码质量分析(Android,iOS),目前完善度不高,仅能检测有限的几种问题,对 Android Java 代码来说,包括:Context 泄漏、空指针异常、资源泄漏、多线程资源竞争。

优点在于使用方便,对 ci 支持以及分析流程的可定制程度较高(可以对 git diff 的文件进行分析,可进行增量分析)以及有对 Android 的相对性检测,可以关注下其发展。

自定义

Infer 整个项目是用函数式语言 OCaml 编写的,分析的是源代码转化后的 Infer 内部中间语言。好在 Infer 另外提供了一门声明式语言 Infer:AL 以供用户自定义规则,这使得使用者不需要关注 Infer 的内部实现,但是还是需要关注其生成的 AST 结构,难度较高一些。

官方开发教程:
Infer:AL

最后

以上即为笔者对四种静态代码分析工具的分析,受限于能力学识,如有错误疏漏欢迎交流指正.

参考资料

continuousdev.com/2015/08/che…
spotbugs.readthedocs.io/en/latest/i…
pmd.github.io/pmd-5.8.1/
checkstyle.sourceforge.net/
fbinfer.com/docs/gettin…
www.ibm.com/developerwo…

转载于:https://juejin.im/post/59c9d14451882579e955588d

weixin_34195364
关注
Android 性能分析工具介绍
weixin_55362248的博客
03-18 1514
本文作者:The Performance,原文发布于:Android Performance。 原文首发于知识星球:The Performance。 正文 Paul Graham 在其著作 <黑客与画家> 中断言:“不同语言的执行效率差距正变得越来越大,所以性能分析器(profiler)将变得越来越重要。目前,性能分析并没有受到重视。许多人好像仍然相信,程序运行速度提升的关键在于开发出能够生成更快速代码的编译器。代码效率与机器性能的差距正在不断加大,我们将会越来越清楚地看到,应用软件运行速度
AndroidUtils:Android 常用工具
06-21
1. **日期时间处理**:AndroidUtils包含了一系列与日期和时间相关的工具方法,例如格式化日期、比较日期、获取当前时间等,这在处理日志记录、用户界面显示等方面非常有用。 2. **网络请求**:在Android应用中,与...
Android 静态分析实例以及工具
09-03
静态分析是探索Android程序内幕的一种最常见的方法,它与动态调剂双剑合璧,帮助分析人员解决分析时遇到的各种“疑难”问题。 静态分析是指在不运行的情况下,采用词法分析、语法分析等各种技术手段对程序文件进行扫描从而生成程序的反汇编代码,然后阅读反汇编代码来掌握 程序功能的一种技术,它有两种方法:一种方法是阅读反汇编生成的Dalvik字节码,可以用IDA Pro分析dex文件,或者使用文本编辑器阅读baksmali反编 译生成的smali文件;另一种方法是阅读反汇编生成的java源码,可以使用dex2jar生成jar文件,然后再使用jd-gui阅读jar文件的代码。
android 静态分析工具,APKinspector android静态分析工具
weixin_30845365的博客
05-26 798
上学期一直用androguard生成字节码,根据字节码的特征分析得到函数调用图。以为这是很easy的事,以为就一个深度优先遍历。后来仔细检查一个有源码的camera的例子,发现并不像如此简单。比如这种调用:private voidtakePicture(){if (mCamera01 != null && bIfPreview){//调用takePicture()方法拍照mCame...
Android逆向2——静态分析工具Apktool
兢飞
03-12 366
Apktool Apktool的安装 Apktool使用 反编译 签名 重新打包
Android 静态代码分析
Fun哥
04-07 2676
Android 静态代码分析 在一些大型项目中,静态代码分析是必不可少的,通过静态代码分析可以避免一些低级的问题,与此同时可以规范代码书写、提高代码质量。本文主要介绍4种分析工具(CheckStyle、Findbugs、PMD、Android Lint)和如何快速接入。 功能介绍 CheckStyle CheckStyle 主要的功能就是实时检测,代码的规范(Code Styl...
android应用程序静态分析工具androguard初体验(二)
u013951516的博客
03-08 937
androlyze.py进入交互模块体验androguard
xmljava系统源码-CodeAnalysis:Android静态代码分析
06-06
下面依次对介绍几个Android常用静态代码分析工具,同时顺便介绍下我厂刘全栈的对静态代码分析做的工具 。 本文最先发表于,如有转载,请注明转载出处。 CheckStyle 『Checkstyle是一个开发工具用来帮助程序员编写...
Android逆向分析工具与签名工具
11-02
本文将深入探讨Android逆向分析工具及其在签名工具中的应用,这些都是确保应用程序安全性和防止未授权修改的关键。 首先,让我们了解什么是逆向分析。逆向分析是对软件进行“解剖”,以揭示其内部工作原理的过程。...
Android软件安全与逆向分析使用到的工具合集
05-24
三、静态分析工具 1. **dex-method-counts**:计算.dex文件中的方法数,对于理解应用的规模和潜在的Dalvik方法数限制很有帮助。 2. **ApkAnalyzer**:Android Studio内置工具,用于分析APK的大小、资源和依赖项。 3....
FindBugs_Java静态代码分析工具_eclipse插件
07-03
FindBugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,FindBugs 不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的缺陷。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。 相应的使用说明文档: http://blog.csdn.net/strawbingo/article/details/5924005
static-code-analysis-plugin:用于简化Gradle上的静态代码分析的插件。 通过确保所有分析都可以访问SDK类,在Android项目中不限于但特别有用
02-04
静态代码分析 静态代码分析包含Checkstyle,Spotbugs,PMD和CPD,为封装的插件提供了新功能和扩展,使其更易于使用,并以最小的努力获得了更好的结果。 开箱即用,只需应用插件,您将获得: 改善了构建性能。 Spotbug和PMD将忽略对自动生成的Android文件( R.class和BuildConfig.class )的更改 Android Lint任务已重新配置为检测最新时间并缓存结果 更好的PMD和Spotbugs分析,允许这两种工具在执行分析时都可以查看Android的SDK类。 通过自动包括更多检测器: 自动使用与使用的Gradle版本兼容的每个工具的最新可
iOS APP crash隐患静态代码扫描工具—godeyes
08-19
工具详情请访问 http://godeyes.duapp.com/
静态代码检查工具
08-15
静态代码检查工具,介绍了FindBugs,CheckStyle,PMD
静态代码检测工具
09-01
自己从网上搜索的一些静态代码检测工具的简要描述!
Android逆向分析静态分析工具
zhuobattle的专栏
08-08 3507
Android开发涉及java层和native层开发,所以静态分析也要分
Android App 静态分析工具比较(1) AAAL
weixin_33972649的博客
03-22 214
NDSS 15:AAAL: Detecting Privacy Leakages via Enhanced Data-flow Analysis and Peer Voting AAAL是检测Android App信息泄露的工具,相比其他工具,主要不同体现在: 在查找Source到sink路径的基础上,会额外做: (1)重构source/sink的string参数,比如ContentRes...
APKHunt:一款功能强大的Android应用程序静态代码分析工具
最新发布
u010291330的博客
03-25 568
尽管APKHunt主要面向移动应用开发人员和安全测试人员,但任何人都可以使用它来识别和解决其代码中的潜在安全漏洞。在该工具的帮助下,移动软件架构师或开发人员可以进行彻底的代码审查,以确保其移动应用程序的安全性和完整性,而安全测试人员可以使用该工具来确认其测试结果的完整性和一致性。由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好Go环境。无论是希望构建安全应用程序的开发人员,还是负责确保其安全的信息安全测试人员,APKHunt都是安全开发工作中的宝贵资源。代码质量和构建设置要求。
Android源码探究:Android Java层消息机制完全解析
蓝天白云梦的csdn博客
05-20 494
#概述 Android的消息机制对我们开发者来说应该是很熟悉的,其中最常见的用法就是利用Handler切换到主线程然后更新UI,消息机制的用法当然不仅仅局限于这个场景,但总的来说,消息机制解决了线程间和线程内的消息通信的问题。Android消息机制是指以Handler为上层接口,MessageQueue和Looper为底层支撑的工作过程。下面简单介绍一下这三个类: ①Handler是我们经常接触的...
深入理解Android静态分析:smali指令解析
Android静态分析中,常用工具有Apktool、dex2jar、JD-GUI等,它们可以帮助反编译APK,查看smali代码,甚至重新打包应用。 通过深入理解smali语言和Android静态分析,开发者和安全专家可以更有效地检查代码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值