clang动态检测java代码,clang自定义静态代码检查库

最新推荐文章于 2024-05-13 21:45:00 发布
最新推荐文章于 2024-05-13 21:45:00 发布
阅读量212 收藏
点赞数
文章标签: clang动态检测java代码

前言

通过分析源码自动查找bug,我们将之称为静态检查(static analyzer).静态库致力于提供用于分析C,C++,Objective-C的高质量的静态分析框架.检查库是完全开源的,我们可以在上面提供的链接里,下载最新的检查库.

我们可以制定使用特定的检查库,也可以使用XCode自带的检查库,如何实现对检查库的配置和自定义,就是这篇文章要讲的内容.

使用场景

static analyzer的实质是提供了一个fake compiler,在真正的compile完成之后,进行analyzer.具体说明在scan-build内.

static analyzer的输出是对bug检测的一个结果,这些bug是在compile完成之后进行的.我们可以通过持续集成,将结果输出到sonar上,进行一个bug的定级,和一些bad smell的检查.

运行自定义的检查库

配置环境

下载

下载最新的分析库,点击链接,下载最新即可.

解压: 双击解压.或者通过指令tar -jxvf

安装命令行工具

下载checker解压后,现将checker-xxx文件夹保存到本地路径下,便于下面的命令工具安装,避免误删.

保存文件夹: 通过Finder--前往文件夹--/usr/local/bin,将checker-xxx移动到文件夹下.

安装命令行工具: checker-xxx文件中包含两个工具scan-build和scan-view,它们在checker

通过下载的checker安装

$ sudo nano /etc/paths

在终端进入了文件的编辑界面,展示如下

/usr/local/bin

/usr/bin

/bin

/usr/sbin

/sbin

添加下载的checker-xxx内scan-build和scan-view对应的文件夹

/usr/local/bin

/usr/bin

/bin

/usr/sbin

/sbin

/usr/local/checker-279

通过^X退出编辑

通过$ echo $PATH查看结果.

仅安装scan-build(不推荐,只做了解)

安装pip,用于安装scan-build

sudo easy_install pip

安装scan-build

pip install scan-build

如果出现Permission denied: '/Library/Python/2.7/***'的报错,执行下面代码

sudo chown -R $USER /Library/Python/2.7

然后再执行

pip install scan-build

使用最新的检查库

Clang开源的代码检查库更新比较频繁,会有更多的bug提示和代码检查.所以使用最新的检查库,可以带来更全面的检查,以提高代码质量和健壮性.

静态检查时,其实是提供了一个"假的"编译器,在编译完成后,会对

下载Clang提供的静态库

在链接地址下载最新的checker-xxx.tar.bz2

解压

双击解压,解压出来的文件夹名字为checker-xxx

使用当前的checker作为检查规范

下载的checker内包含set-xcode-analyzer命令行工具,进入checker-xxx文件夹下,cd /bin,执行以下指令,在这之前,记得退出XCode

sudo ./set-xcode-analyzer --use-checker-build=/usr/local/checker-xxx

以上指令就是使用我们下载的检查器进行代码检查了.

使用XCode自带的静态检查

如果想恢复到系统自带的静态检查,进入对应文件夹下,执行

sudo ./set-xcode-analyzer --use-xcode-clang

静态检查工具讲解

在checker-xxx文件夹中,我们只需要关注两个文件

scan-build: 运行分析器的高级命令行工具

scan-view: 查看scan-build生成的分析结果.

scan-build

scan-build是用来运行静态分析的命令行工具.在项目build时,源文件会被编译,并且会进行静态分析.build完成后,结果会以网页浏览器的形式展示给开发者.

scan-build的用法是在xcodebuild命令前加上scan-build即可.以下有需要注意的几点:

在debug模式下运行

因为大多数项目允许在debug模式下使用断言,断言对于静态检查很有作用,可以减少错误检查的几率,可以通过在scan-build后添加--force-analyze-debug-code来制定模式,当然也可以通过xcodebuild -configuration Debug来实现.

通过verbose查看详情

在模拟器下运行

scan-build xcodebuild -configuration Debug -sdk iphonesimulator10.1

扩展:如果本地有多个编译器,可以通过指令来制定编译器:scan-build --use-cc 或scan-build --use-c++

运行完成之后,会输出通过scan-view查看的指示,在scan-view后跟着一个文件夹,文件夹内部都是.html文件,可以通过scan-view 来查看,也可以直接双击打开.

静态检查知识补充

使用静态分析库有几个注意点:

持续更新,不断优化

代码检查库一直计划提升代码检查的精确度和范围,优化查找bug的方式,对于静态代码检查有一些基本的限制,可优化的空间还有很大.

比编译耗时

使用静态代码检查自动查找程序bug其实是使用CPU时间来换更高的代码质量.静态分析要比编译耗时.

即使Clang在速度和轻量级上尽可能进行了优化,但是也不要期待会比项目编译更快.一些用于查找bug的代码最差时需要指数级的时间消耗.

检测失误

静态检测并不是完美的,可能正确的代码也会出现一些错误的bug提示,因为不同代码需要的检查精度不同,我不同的检查规则中,可能会出现不同频率的检测失误,Clang一直在尽力减少这种失误,但目前并没有完全避免.

并未100%覆盖全部bug

静态检查只是找到了那写常见的特定bug,但是对于某些bug还未覆盖.

相关链接

weixin_39929595
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码检查与自动化测试
吃不胖.
08-11 338
Java代码检查是指通过检查代码中的潜在问题和违反编码规范的地方,来确保代码质量和可维护性的一种方法。PMD是另一个流行的Java代码检查工具,它可以帮助Java开发者检查代码中的一些潜在问题,例如未使用的变量、资源泄漏、重复代码等等。通过自动化测试,我们可以提高测试的效率和准确性,同时可以有效地减少因为人工测试错误和遗漏导致的软件缺陷和安全漏洞。总之,Java代码检查与自动化测试是确保Java应用质量和可维护性的重要手段,要善于掌握和应用相关的工具和技术,以提高软件的质量和竞争力。
java查单源码-JavaSourceCodeRuleChecker:根据自定义Java规则检查代码
05-24
java查单源码JavaSourceCodeRuleChecker 根据自定义Java规则检查代码 这是用于帮助发现代码错误的工具。 您可以通过扩展ARule来创建自己的规则,并从IRule中实现getResults方法。 get results方法使用对象数组作为参数,因此您可以构建自定义规则以使用所需的任何对象。 getResults方法应返回一个哈希图,其中源文件为键,而ErrorLines数组为值。 ErrorLine只是具有行号和消息的类,通常该行本身就是消息,但是您可以将其更改为所需的任何内容。 在主类中,您可以将规则添加到rulesToCheck数组列表中并运行该应用程序。 确保更改项目的路径位置以匹配您的本地驱动器位置。
使用Clang作为编译器 —— Clang 静态分析器
梦在哪里的博客
06-05 2287
Clang 静态分析器 本文为译文,点击此处查看原文。 Clang Static Analyzer是一个源代码分析工具,它可以发现 C、C++ 和 Objective-C 程序中的 bug。它基于符号执行技术实现了路径敏感的、过程间分析。 这是静态分析器文档页面。 请参阅官方工具页面。 目前,它既可以作为一个独立的工具运行,也可以在Xcode中运行。独立工具从命令行调用,并计划与代码的构建一起运...
代码缺陷扫描神器——FindBugs
最新发布
白帽黑客佳哥的博客
05-13 1254
FindBugs目前,主要有三种形式使用,GUI形式、插件形式、Ant脚本形式,在这里只讲述FindBugs作为插件,在Android Studio中的应用。根据缺陷的性质,大致可以分为下列几类:分类1)Bad practice:不好的做法,代码违反了公认的最佳实践标准,比如某个类实现了equals方法但未实现hashCode方法等;2)Malicious code vulnerbility:恶意的代码漏洞;3)Correctness:可能不正确,比如错误的强制类型转换;
clang动态检测java代码,使用Clang实现C语言编程规范检查
weixin_29035405的博客
03-13 2644
概述Clang是LLVM编译器工具集的前端部分,也就是涵盖词法分析、语法语义分析的部分。而LLVM是Apple在Mac OS上用于替代GCC工具集的编译器软件集合。Clang支持类C语言的语言,例如C、C++、Objective C。Clang的与众不同在于其模块化的设计,使其不仅实现编译器前端部分,并且包装成的形式提供给上层应用。使用Clang可以做诸如语法高亮、语法检查、编程规范检查方面的工...
clang动态检测java代码,hunter Liu
weixin_39620943的博客
03-13 69
//===----------------------------------------------------------------------===//// C Language Family Front-end//===----------------------------------------------------------------------===//Welcome to...
静态代码检查的相关文件
11-23
在软件开发过程中,静态代码检查Static Code Analysis)是一种重要的质量保证手段,它可以在程序运行前分析源代码,找出潜在的错误、不符合编码规范、安全漏洞等问题。本压缩包文件"codecheck"可能包含了用于执行...
Vim plugin for clang-format
12-31
5. 与 clang-tidy 结合:除了格式化,clang-format 还可以与 clang-tidy 配合使用,后者是一个静态代码分析工具,可以帮助你找出潜在的编码问题。通过 Vim 插件,这两个工具可以无缝集成,提供全面的代码质量和格式...
Durian:基于Python的代码检查工具,暂时支持一些简单的静态漏洞检查和基于clang对c系列语言解析为抽象语法树(抽象语法树)进行破坏性缺陷分析检查
03-23
支持C系列(基于libclang),JAVA,PHP,等开发语言以及伪代码检测,并支持数十种类型文件。 支持的多个漏洞(支持多个漏洞类型) 临时开放几条突破规则匹配,用户可以自定义,后续将继续更新。 CLI / API模式...
coala-bears:熊的熊
01-30
标签中的 "linter" 表明它提供了一种静态代码分析工具,用于在代码执行前检测潜在的错误和不符合规范的地方。"code-analysis" 暗示其功能深入到代码结构和逻辑中,找出可能的问题。"generic languages" 表明 coala-...
infer-docs-cn:Facebook Infer的中文文档
05-23
《Facebook Infer的中文文档——深度探索静态代码分析工具》 Facebook Infer是一款强大的静态代码分析工具,它能够帮助开发者在代码编写阶段发现潜在的错误和缺陷,从而提高软件质量。这款工具最初由Cococapital...
parse AST with Clang-example
weixin_34038293的博客
03-23 254
为什么80%的码农都做不了架构师?>>> ...
CheckStyle 编写自己的代码检查插件
kevin的博客
07-20 906
CheckStyle 编写自己的代码检查插件 checkstyle是用来检查Java代码很好用的工具,Maven中可以添加插件maven-checkstyle-plugin来使用checkstyle,官方默认给了两个检查配置文件 :sun、google。 本篇重点介绍 如何自定义检查文件来编写自定义代码检查逻辑。 重点网站 checkStyle配置项介绍网站:https://checkstyle.org/index.html 在这个网站中 每一项配置及其作用和参数都有介绍,想自定义代码检查插件,这个必
Clang 静态分析(Static Analyzer)工具使用的总结
热门推荐
beswkwangbo的专栏
10-16 1万+
woogle原创,转载注明出处。 Clang作为LLVM(LowLevel VirtualMachine)编译器框架的前端,可以将C/C++、O-C/O-C++语言编译成为LLVM的中间表达式IR(IntermediateReresentation), 其结构图如下所示:​ 上面的不是重点,本篇文章的重点是讲Clang静态分析工具的使用,Clang作为前端,最主要的
符号执行(6) - clang静态分析器带你一起读代码
lusing的专栏
10-27 825
符号执行(6) - clang静态分析器带你一起读代码 符号执行除了可以生成较高的覆盖率的测试用例之外,其实还有很多用途,其中最广为人知的可能是静态扫描代码中的问题。 clang是一个强大的C++编译前端大家都早就很熟悉了,大家在编译中可能都有很多警告没有处理。 其实,编译过程中为了加快编译速度,实现多项式复杂度的时间,并不能覆盖很多路径。数据流分析的时候,有很多时候状态是迭加在一起无法判断的。 如果我们愿意花更多的时间去检查代码的质量,可以使用clang提供的静态分析器。据说clang分析器是与行业两大巨
java静态代码检查_如何写静态代码检查规则(JAVA)
weixin_34501374的博客
02-19 764
一.概述产品线最近在线上出了两个相似的问题:开发人员在写循环代码的时候没有在循环体内使用到循环变量而发生了错误,比如如下代码:1List list = getList();2for(int i = 0;i < 9 ;i++){3System.out.println(list.get(0));4}其实我们在代码中是想写list.get(i)的,为了发现诸如此类的问题,我们需要把它固化成静态代码...
sonar规则之坏味道类型
lxlmycsdnfree的博客
06-21 1万+
1、Abbreviation As Word In Name (默认 关闭)坏味道 主要检查验证标识符名称中的缩写(连续大写字母)长度,还允许执行骆驼案例命名allowedAbbreviationLength 3 6、Annotation Location (默认 关闭)坏味道 主要注释位置allowSamelineSingleParameterlessAnnotationTo allow sin...
Java后端项目IDEA配置代码规范检查,使用checkStyle实现
QC班长的博客
02-09 5872
比如可以通过 CI 限制,例如在 forking-workflow 模式中设置在 Merge 时自动执行一个 Actions 来执行 Lint,对于不合格的 Merge Request 直接关闭掉不允许合并,以变相到达不合格代码进入主干的目的。打开file --> settings,找到Tools ,可以看到安装好的 checkstyle,Configuration File-->点击➕添加项目中的配置文件,选择checks/alibaba-checks.xml文件,输入名称,点击下一步,完成。
24小时入门:自定义Clang静态分析器检查器教程
这份入门级教程将帮助读者深入了解静态分析的工作原理,学会如何利用Clang Static Analyzer进行深入的代码审查,从而提高软件质量并降低潜在风险。无论是对软件测试、安全审计还是代码优化有兴趣的开发者,都将从中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值