java 静态分析_静态代码分析与代码质量安全

最新推荐文章于 2024-05-11 10:02:37 发布
最新推荐文章于 2024-05-11 10:02:37 发布
阅读量780 收藏 3
点赞数
文章标签: java 静态分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36331854/article/details/114432420
版权

HeartBleed Bug

Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

25340043bcef50fa4f8b49e9870aecf9.png

d1fe7ecb25d6cbe1074810c7b77bb2bf.png

cb81dc41b5860ea1a1a9263434f01e2c.png

代码静态分析

• 定义:在不执行计算机程序的条件下,对源代码进行分析,找出代码

缺陷

• 执行方式:一般配合静态程序分析工具进行

• 采用技术:数据流分析、机器学习、语义精简...

• 可检测类型:死锁,空指针,资源泄露,缓冲区溢出,安全漏洞,竞态条件...

• 优点:

• 能够检测所有的代码级别的可执行路径组合,快速,准确

• 直接面向源码,分析多种问题

• 在研发阶段开始找到并修复多种问题,节省大量时间/人力成本

• 注意:静态分析不是万能的,测试是持续的过程,非一劳永逸

存在问题

• 编译器警告: 保证类型安全

– 最初级的静态分析,检测规则简单

• 中间语言分析: 检测字节码( Byte Code )的缺陷,将其重新映射到真实代码中

– 在转换与映射过程中易造成精度丢失

• 高误报率:目前静态分析产品的误报率普遍在30%以上。

• 缺陷种类较少,找到的问题级别不高:多数为代码规范或低级缺陷,非实际Bug

– 如命名规范、类定义规范,最佳实践.....

• 易用性较低:基本上都是一次性的使用工具,无法与SDLC集成

– SCM集成:如SVN,CVS,Perforce,Git

– Bug Tracking:如Bugzilla,Jira

改进型的静态分析方案

基于Meta Compilation的静态分析:

• 由斯坦福大

最低0.47元/天 解锁文章
beau temps别闹
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java RMI 调用链与源码解析
悦分享
08-04 620
本篇简单说一下RMI的调用流程和攻击历史,以及分析RMI的JDK源码,对于RMI攻击的各种反序列化并不做过多的分析。。
常用 Java 静态代码分析工具的分析与比较
sony315的专栏
10-16 1320
常用 Java 静态代码分析工具的分析与比较 http://simpleframework.net/blog/v/41049.html 引言 在 Java 软件开发过程中,开发团队往往要花费大量的时间和精力发现并修改代码缺陷。Java 静态代码分析(stat
探秘SpotBugs:Java代码静态分析的超级助手
最新发布
gitblog_00046的博客
05-11 424
探秘SpotBugs:Java代码静态分析的超级助手 项目地址:https://gitcode.com/spotbugs/spotbugs 1、项目介绍 SpotBugs 是著名的 FindBugs 的继承者,继续在FindBugs停止的地方推进,以社区支持为动力。这个项目致力于提供更强大的静态代码分析功能,帮助开发者找到潜在的错误和不良编码实践。 SpotBugs 使用 GNU LESSER G...
java利用静态内部类实现链式调用
yygr的博客
12-25 815
使用场景 这个就非常重要了,因为如果你学了个东西,都不知道用来解决什么问题,你说有什么用?理解使用场景的的重要性要远高于你是不是会实现这个模式,因为只要你知道什么问题可以使用builder模式来解决,那你即使不会写,也可以在调查相关资料后完成。 我不想说一些大而正确的术语来把你搞蒙,我们只针对具体的问题,至于延展性的思考,随着你知识的增长,逐渐会明白的。延展阅读 当一个类的构造函数参数个数超过4个,而且这些参数有些是可选的参数,考虑使用构造者模式。 解决的问题 当一个类的构造函数参数超过4个,而且这些参数有
Java可执行命令】(十二)依赖分析工具jdeps:通过静态分析字节码并提取相关信息来实现依赖分析 ~
Technology changes the world of life
08-02 2597
jdeps命令是Java开发中一种有用的工具,它能够帮助开发者识别类之间的依赖关系。通过分析依赖关系,开发者可以更好地理解项目结构、优化代码,解决潜在的问题。然而,使用jdeps命令需要结合具体的项目情况和开发需求,正确理解和应用分析结果。
聊聊java
m0_72492175的博客
08-14 466
1.java的发展历史现状 一、java的前身 1990年,由于单片式计算机系统的火爆,sun公司为了抢占市场,成立了包括詹姆斯·高斯林在内的green小组,主要攻克家电的嵌入式应用,这些家电由于当时硬件的限制,计算处理能力和内存都非常有限,这就要求在极为紧凑的硬件中必须写入大量代码,且当时的嵌入式处理器芯片的种类繁杂,这对跨平台性要求极高,所以采用的语言必须具备简单、可移植、高性能等特点。当时最流行的语言是C++,所以green小组优先考虑使用C++编写程序,但是在实践过程中却发现单片机的硬件资源极其匮
Java代码质量分析Sonar
赵广陆
06-18 4378
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
plsta.rar_代码走查工具_复杂度分析_控制流分析_数据流分析_静态代码分析
07-13
介绍了“雨田静态分析”在提高代码质量方面所做的开创性工作,。雨田静态分析系统是拥有独立知识产权的国产软件,能够对.c/.cpp/java文件进行静态分析。主要分析内容包括控制流分析、数据流分析、基本度量指标的计算...
研发阶段的质量安全测试实战——使用静态分析技术找到“真正”的代码质量缺陷与安全漏洞
02-25
优化的静态分析技术,数据流分析Java语言的缺陷及检测实例,C/C++语言缺陷及检测实例。
Java静态分析Java代码检查.docx
11-20
Java静态分析Java代码检查是软件开发中至关重要的步骤,主要目的是在代码执行之前发现潜在的错误和不规范之处,从而提升代码质量和可维护性。Parasoft Jtest是一款强大的工具,专门针对Java应用程序,提供了静态...
4 种主流 Java 静态代码分析工具
05-27
java静态代码分析工具包括Checkstyle,FindBugs,PMD,Jtest
sonar-java:用于Java代码质量安全性的SonarSource静态分析
02-03
Java代码质量安全性 该SonarSource项目是Java项目的代码分析器。 有关Java功能分析的信息可。产品特点500多个规则(包括100多个错误检测规则和300多个代码气味) 指标(复杂度,行数等) 导入有用的链接有问题或...
Java静态代码块和静态类、静态导入
关注我!带你一路 "狂飙" 到底!
03-31 773
本文详细介绍关于static其他的一些内容,比如静态类、静态代码块和静态导入等
java中的静态相关知识、内存存储分析
qq_66013742的博客
08-21 512
java的内存存储总共分为5大区域堆、栈、方法区、本地方法区、寄存器区其中本地方法区(存第三方语言-C/C++)和寄存器区(多线程资源)不用区分析,没法跟踪这两个区域重点分析:堆,栈,方法区堆:存new对象,成员属性,常量池(放字符串常量,之前方法区,现在放堆区-性能考虑,但沿用了方法区特点)栈:存局部变量方法区:class资源,static资源;特点:优先于对象的加载,且相同资源只维护一份接下来,使用简单的面向对象案例,说明内存的执行过程1.内存分析内存存储的5大区域;
java 静态分析工具_了解您的Java静态分析工具
07-05 993
有许多Java静态分析工具在起作用。 每个人都专注于特定领域并具有自己独特的优势。 这是一个有用的摘要: Pmd:基于静态规则集的Java代码分析器,它识别潜在的问题,例如: 可能的错误–尝试/捕获/最终/切换块为空。 无效代码–未使用的局部变量,参数和私有方法。 空的if / while语句。 过于复杂的表达式–不必要的if语句,用于可能为while循环的循环。 ...
JAVA(static)静态代码块和普通代码分析
爱敲键盘的程序源的博客
06-17 1135
JAVA(static)静态代码块和普通代码分析
java静态分析_PMD-Java代码静态分析工具使用
weixin_39963534的博客
02-12 820
如今,使用代码分析工具来代替人工进行代码审查,已经是大势所趋了。用于Java代码检测的工具中,不乏许许多多的佼佼者,其中PMD就是其中一款。PMD既可以独立运行,也可以以命令行的形式运行,还可以作为插件在IDE中运行,本文将基于在Android Studio中的使用来介绍PMD的基本使用。一、PMD简介对于PMD名称含义,有个有趣的现象,PMD不存在一个准确的名称,在官网上你可以发现很有有趣的名称...
如何进行java代码静态分析
06-06
2. 使用第三方静态分析工具:常用的Java静态分析工具有FindBugs、CheckStyle、PMD等。这些工具可以通过命令行或插件的方式集成到开发环境中,然后对Java代码进行分析。 3. 使用持续集成工具:持续集成工具如Jenkins...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值