java自定义findbugs规则_静态代码扫描 (三)——FindBugs 自定义规则入门

最新推荐文章于 2022-11-29 00:37:32 发布
最新推荐文章于 2022-11-29 00:37:32 发布
阅读量701 收藏
点赞数
文章标签: java自定义findbugs规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42099530/article/details/114303845
版权

准备工作

由于 FindBugs 是分析编译后的 class 文件,也就是字节码文件。我们需要了解 FindBugs 底层的处理机制。根据FindBugs 官网文档描述,FindBugs 使用了BCEL来分析 Java 字节码文件。从 1.1 版本开始,FindBugs 也支持使用ASM字节码框架来编写 bug 探测器。

我们需要下载 FindBugs 源码版用来新增自定义探测器:findbugs-3.0.1-source.zip

也需要下载 FindBugs 标准版:findbugs-3.0.1.zip,将 findbugs.jar 替换为我们的自定义版本后,运行查看结果。

自定义规则

自定义规则思路:

明确要定义的规则。

分析样例代码的字节码内容。

编写探测器。

将规则加入规则文件中。

1. 明确要定义的规则

我将以一个非常简单的规则举例:代码中避免使用有类似 System.out 的输出语句。

package main;

public class TestFindBugs {

public static void main(String[] args) {

System.out.println("123"); //bug

System.err.println("123"); //bug

}

}

2. 分析样例代码的字节码内容

为了更方便的分析样例代码的字节码内容,这里推荐一个 Eclipse 上用来查看 java 文件字节码内容的插件:

Bytecode Outline

官网地址:http://andrei.gmxhome.de/bytecode/index.html

在安装完成后,通过 Bytecode 工具编译后的字节码文件内容:

// class version 51.0 (51)

// access flags 0x21

public class main/TestFindBugs {

// compiled from: TestFindBugs.java

// access flags 0x1

public ()V

L0

LINENUMBER 3 L0

ALOAD 0

INVOKESPECIAL java/lang/Object. ()V

RETURN

L1

LOCALVARIABLE this Lmain/TestFindBugs; L0 L1 0

MAXSTACK = 1

MAXLOCALS = 1

// access flags 0x9

public static main([Ljava/lang/String;)V

L0

LINENUMBER 5 L0

GETSTATIC java/lang/System.out : Ljava/io/PrintStream;

LDC "123"

INVOKEVIRTUAL java/io/PrintStream.println (Ljava/lang/String;)V

L1

LINENUMBER 6 L1

GETSTATIC java/lang/System.err : Ljava/io/PrintStream;

LDC "123"

INVOKEVIRTUAL java/io/PrintStream.println (Ljava/lang/String;)V

L2

LINENUMBER 7 L2

RETURN

L3

LOCALVARIABLE args [Ljava/lang/String; L0 L3 0

MAXSTACK = 2

MAXLOCALS = 1

}

通过查看字节码文件分析,我们找到了一些关键语句:

GETSTATIC java/lang/System.out : Ljava/io/PrintStream;

GETSTATIC java/lang/System.err : Ljava/io/PrintStream;

3. 编写探测器

我们通过刚才找到的关键语句,结合我们的逻辑,进行探测器编写:

package edu.umd.cs.findbugs.detect;

import org.apache.bcel.classfile.Code;

import edu.umd.cs.findbugs.BugInstance;

import edu.umd.cs.findbugs.BugReporter;

import edu.umd.cs.findbugs.bcel.OpcodeStackDetector;

/**

* @author yuanwei

* @category 代码中避免使用有类似System.out的输出语句

*/

public class ForbiddenSystemClass extends OpcodeStackDetector {

BugReporter bugReporter;

public ForbiddenSystemClass(BugReporter bugReporter) {

this.bugReporter = bugReporter;

}

/**

* visit方法,在每次进入字节码方法的时候调用 在每次进入新方法的时候清空标志位

*/

@Override

public void visit(Code obj) {

super.visit(obj);

}

/**

* 每扫描一条字节码就会进入sawOpcode方法

*

* @param seen

* 字节码的枚举值

*/

@Override

public void sawOpcode(int seen) {

if (seen == GETSTATIC) {

if (getClassConstantOperand().equals("java/lang/System")) {

if(getNameConstantOperand().equals("out") || getNameConstantOperand()

.equals("err")){

BugInstance bug = new BugInstance(this, "CJ_SYSTEMCLASS",

NORMAL_PRIORITY).addClassAndMethod(this).addSourceLine(

this, getPC());

bugReporter.reportBug(bug);

}

}

}

}

}

4. 将规则加入规则文件中

我们刚才在编写探测器的时候,已经给定了规则的名称CJ_SYSTEMCLASS。现在我们需要将这个规则添加在配置文件中。

配置 findbugs.xml:

配置 message.xml:

Default FindBugs plugin

This plugin contains all of the standard FindBugs detectors.

]]>

代码不能出现System.out

请使用log日志形式打印

]]>

代码不能出现System.out

{1}代码不能出现System.out,请使用log形式输出

不能使用System.out和System.err,请使用log

]]>

影响性能的输出System.out

规则添加完成后,重新打包 findbugs.jar:

mvn clean install -Dmaven.test.skip=true

cfd1feae6a0575fc0a239877808942ef.png

打包成功后,在可运行版本的 findbugs 中替换原来的/lib/findbugs.jar

执行 findbugs 命令,扫描样例文件的 class 文件,查看运行结果:

14f12f219c2cd7c442b5f137e97bcbe5.png

b83a30f44b083f4c232292eb53cd001a.png

在扫描结果中,可以看出确实扫描到了我们设定的问题语句。

使用 FindBugs 自定义规则成功!

参考文献

360Qtest 团队公众号

关注公众号,第一时间收到我们推送的新文章~

我和这个世界
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中文版-FindBugs规则整理
05-07
中文版-FindBugs规则整理_ 支持规则大约有300个左右;
自定义SonarQube Java规则
程军高的专栏
11-06 2414
重写Sonar PMD插件定义我们自己的Java代码扫描规则
IDEA常用插件
zhouhengjian的博客
11-29 5351
IDEA插件、IDEA
Java静态检测工具的简单介绍 - Sonar、Findbugs
建伟博客
03-30 4476
静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人 工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。 代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和 设计的一致性, 代码对标准的遵循、可读性,代码的逻辑表达的正确性,代 码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、 不明确和模糊的部分,找出程序中不可移植部分、违背程序编
代码静态扫描 Sonar, Checkstyle, PMD, Findbug 的对比与使用侧重
ahhriver的博客
01-31 3174
首先 Sonar 为代码质量平台,做多维度统计及结果数据展示用,本身不具备代码扫描功能,可由 QA 或 Tester 直接运维及使用管理。题外话,除去可插入代码静态扫描结果展现外,还可以插入测试运行时动态覆盖率扫描(例如:Jacoco)结果 其次 Checkstyle 侧重对文法分析,即对编码风格、约定的语法扫描,不做代码缺陷模式(对Bad Practise的推断或预判式)的扫描(例如:发现空指...
静态代码扫描——FindBugs自定义规则入门
oggboy的专栏
07-06 8735
阅读本文前,建议先了解一下FindBugs的介绍和使用方法。 准备工作由于FindBugs是分析编译后的class文件,也就是字节码文件。我们需要了解FindBugs底层的处理机制。根据FindBugs官网文档描述,FindBugs使用了BCEL来分析Java字节码文件。从1.1版本开始,FindBugs也支持使用ASM字节码框架来编写bug探测器。 我们需要下载FindBugs源码版用来新增自定
FindBugs_Java静态代码分析工具_eclipse插件
07-03
FindBugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,FindBugs 不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的...
FindBugs规则(中文版111).doc
11-20
FindBugs规则整理(中文版)
FindBugs规则整理_中文版
08-17
FindBugs规则整理_中文版 支持规则大约有300个左右
FindBugs Java静态代码分析工具
07-14
FindBugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,FindBugs 不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的...
详解eclipse插件findbugs规则的开发过程
04-03
NULL 博文链接:https://plkong.iteye.com/blog/1482178
checkstyle和pmd、FindBugs规则集成文档
06-20
myeclipse 和 eclipse 集成插件
常用Java静态代码分析工具的分析与比较
03-04
本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有4种主流Java静态代码分析工具(Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发...
如何使用FindBugs进行安全扫描
mark's technic world
11-13 4823
前言 随着移动互联网的飞速发展,移动端产品满天飞,深入各行各业,移动端安全已经变得跟PC端安全同等重要地位。但由于移动端自身特性,移动端操作系统以及应用程序的安全性做的还不是很成熟。因此,我们在开发移动端App的时候,要尽量多地避免安全漏洞问题。本文主要是从预防的角度出发,介绍一个静态代码扫描工具,在编译阶段来提前发现代码的安全漏洞。 FindSecurityBugs简介 FindSecurity
java代码审计工具_Java代码安全审计工具之Find Security Bugs
weixin_39846898的博客
02-12 499
Usage: findbugs [general options] -textui [command line options...] [jar/zip/class files, directories...]常规选项:-jvmArgs args 将参数传递给JVM-maxHeap size ...
java自定义findbugs规则_findbugs自定义规则并配置实现检测
weixin_39621235的博客
02-17 539
findbugs不过多介绍了,对于这个主题找了一些资料,没有找到一个完整的介绍,要么是介绍怎么写detector,要么就是没有完整的介绍怎么配置生效,下面主要介绍一下怎么配置其生效,至于怎么写这个detector还是有很多资料说明的,不过在些也重复一下。一、自定义detector1ForbidSystemOutClass检测类packagecom.test.findbugs;importorg....
java自定义findbugs规则_FindBugs规则整理
weixin_33525298的博客
02-17 1326
FindBugs是基于Bug Patterns概念,查找javabytecode(.class文件)中的潜在bug,主要检查bytecode中的bug patterns,如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错(==,而不是equals)等1.Dm: Hardcoded constant database password (DMI_CONSTANT_DB_PASSWOR...
转:FindBugs,第 2 部分: 编写自定义检测器
z3h的专栏,Java+Oracle...大杂烩
06-27 1660
FindBugs,第 2 部分: 编写自定义检测器如何编写自定义检测器以查找特定于应用程序的问题FindBugs 是一种可以扩展和定制以满足自己团队独特要求的静态分析工具。在本系列的第 2 部分中,高级软件工程师 Chris Grindstaff 向您展示如何创建特定于应用程序的缺陷检测器。在本系统的 第一篇文章中,我展示了如何设置和执行 FindBugs。现在我们将分析 Find
高分项目 基于STM32单片机的宠物RFID阅读器源代码+项目资料齐全+教程文档.zip
最新发布
05-08
【资源概览】 高分项目 基于STM32的宠物RFID阅读器源代码+项目资料齐全+教程文档.zip高分项目 基于STM32的宠物RFID阅读器源代码+项目资料齐全+教程文档.zip高分项目 基于STM32的宠物RFID阅读器源代码+项目资料齐全+教程文档.zip 【资源说明】 高分项目源码:此资源是在校高分项目的完整源代码,经过导师的悉心指导与认可,答辩评审得分高达95分,项目的质量与深度有保障。 测试运行成功:所有的项目代码在上传前都经过了严格的测试,确保在功能上完全符合预期,您可以放心下载并使用。 适用人群广泛:该项目不仅适合计算机相关专业(如电子信息、物联网、通信工程、自动化等)的在校学生和老师,还可以作为毕业设计、课程设计、作业或项目初期立项的演示材料。对于希望进阶学习的小白来说,同样是一个极佳的学习资源。 代码灵活性高:如果您具备一定的编程基础,可以在此代码基础上进行个性化的修改,以实现更多功能。当然,直接用于毕业设计、课程设计或作业也是完全可行的。 欢迎下载,与我一起交流学习,共同进步!
静态代码扫描工具java_静态代码扫描工具
05-13
Java静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的代码规范和潜在的性能问题。 3. Checkstyle:是一个开源的代码规范检查工具,可以帮助开发人员遵循Java代码的规范。 4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:也是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 以上工具都有各自的特点和优缺点,可以根据实际需要选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值