详解eclipse插件findbugs新规则的开发过程

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量558 收藏
点赞数
分类专栏: 转载学习 java 文章标签: findbugs java

大家都知道Java开发的应用,代码量都是很庞大的,并且所有的代码不可能是一个人完成的,如何保证我们代码的高质量呢?静态扫描工具findbugs是不错的选择

 

java应用最常见的也就是NullPointException问题了。平时我们做小的项目出几个NPE没什么太大的影响,打几个错误日志,下次修复掉就行了。但是如果是淘宝、支付宝这样的大型系统,每天用户量很大,可能一个NPE就会影响到很多用户的系统使用。findbugs会容易的找出这些问题。

 

有的时候findbugs不能满足我们的需求,我们需要在代码扫描阶段就发现更多的问题,那么就需要开发针对自己需求的findbugs规则。比如:生产环境的代码中是不允许有System.out.prinln("xxxxx");这样的信息出现的,必须使用log来记录日志,所以我们就可以专门写一条规则来检测代码里面是否存在System.out,如果存在就给出提示。

同样的,在使用log日志的时候,必须要先判断日志的级别然后再使用log.debug(""),所以我们可以定义一条日志来检测代码中是否存在没有使用if条件判断就直接log.debug(),有的话给出提示。

 

进入正题,通过找代码中是否存在System.out来讲解findbugs规则的开发过程

效果:

 

 

准备工作:

1 findbugs源码的下载下载路径:

http://code.google.com/p/findbugs/source/checkout 通过svn下载,svn命令: Svn checkouthttp://findbugs.googlecode.com/svn/trunk/ findbugs-read-only 
2 将源码导入eclipse

在eclipse中选择import --- plug-ins and fragments,选择下载的findbugs源码的路径import as选项卡中选择 projects with source folders

添加plug-ins的时候记得不要选择中间的那个,中间的是test,也可以选择全导入 
3 项目环境设置 
在edu.umd.cs.findbugs.plugin.eclipse项目中找到plugin.xm用manifest editor打开,在build选项卡中add Library:findbugs-plugin.jar,选中findbugs-plugin.jar,add folder:src

在findbugs项目中找到MANIFEST.MF,在build中add Library:findbugs.jar,选中findbugs-plugin.jar,add folder:src/java,src/java5,src/tools,src/antTask

开发新规则:
1.首先认识几个文件 
Findbugs.xml 
对于每一个新的检测器,在 FindBugs.xml 文件中增加一个 Detector 元素和一个 BugPattern 元素。 Detector 元素指定用于实现检测器的类以及它是快速还是慢速检测器。其中reports属性是和edu.umd.cs.findbugs.detect中类report的错误相对应的和Bugpattern中的type一致且唯一。

category 属性是枚举类型。 
它是以下类型中的一种: 
CORRECTNESS :一般正确性问题 
MT_CORRECTNESS :多线程正确性问题 
MALICIOUS_CODE :如果公开给恶意代码,有可能成为攻击点 
PERFORMANCE :性能问题 

Message.xml 
messages.xml 文件由三个元素组成: Detector 、 BugPattern 和 BugCode 。检测器的 class 属性应当指定检测器的类名。 Details 元素包含检测器的简单 HTML 描述,这里面主要写错误的提示信息。

FindBugs 利用了 Byte Code Engineering Library,称为 BCEL,以实现其检测器。所有字节码扫描检测器都基于 visitor 模式。侧重于两个方法------ visit(Code) 和 sawOpcode(int) 。在 FindBugs 分析类时,它会在分析方法内容时调用 visit(Code) 方法。与此类似,FindBugs 在分析方法正文中的每一个操作码时调用 sawOpcode(int) 方法。


下面我们看一个列子:在企业级开发中,是不允许用System.out来输出信息的,必须要用log日志来打印出信息,所以我们就增加一个findbugs的新规则发现代码中有system.out的时候就给用户提示,一下是开发步骤

先看一段通过javap反编的java代码对比 
源码:

Java代码 

[java]  view plain  copy
  1. public class Test{     
  2.     public static void main(String[] args){     
  3.         String str="pass";     
  4.         if(str.equals("pass")){     
  5.             System.out.println("str is pass");       
  6.         }     
  7.     }     
  8. }    
 
 


反编:

Java代码 

[java]  view plain  copy
  1. Compiled from "Test.java"    
  2. public class Test extends java.lang.Object{     
  3. public Test();     
  4.   Code:     
  5.    0:   aload_0     
  6.    1:   invokespecial   #1//Method java/lang/Object."<init>":()V     
  7.    4:   return    
  8.     
  9. public static void main(java.lang.String[]);     
  10.   Code:     
  11.    0:   ldc #2//String pass     
  12.    2:   astore_1     
  13.    3:   aload_1     
  14.    4:   ldc #2//String pass     
  15.    6:   invokevirtual   #3//Method java/lang/String.equals:(Ljava/lang/Object;)Z     
  16.    9:   ifeq    20    
  17.    12:  getstatic   #4//Field java/lang/System.out:Ljava/io/PrintStream;     
  18.    15:  ldc #5//String str is pass     
  19.    17:  invokevirtual   #6//Method java/io/PrintStream.println:(Ljava/lang/String;)V     
  20.    20:  return    
  21.     
  22. }    
  
通过反编的代码我们可以看到调用system.out.println的时候是通过


12: getstatic #4; //Field java/lang/System.out:Ljava/io/PrintStream; 
这句来执行的,所以我们只要找到getstatic指令,并判断方法调用是System.out就可以知道是用了System.out,就可以声明bug并且报告bug

findbugs代码

Java代码 

[java]  view plain  copy
  1. package edu.umd.cs.findbugs.detect;  
  2.   
  3. import org.apache.bcel.classfile.Code;  
  4.   
  5. import edu.umd.cs.findbugs.BugInstance;  
  6. import edu.umd.cs.findbugs.BugReporter;  
  7. import edu.umd.cs.findbugs.bcel.OpcodeStackDetector;  
  8.   
  9. /** 
  10.  * @author bo 
  11.  * 这个规则类用于判断System.out和System.error这种情况 
  12.  */  
  13. public class ForbiddenSystemClass extends OpcodeStackDetector {  
  14.  BugReporter bugReporter;  
  15.   
  16.  public ForbiddenSystemClass(BugReporter bugReporter) {  
  17.   this.bugReporter = bugReporter;  
  18.  }  
  19.   
  20.  /** 
  21.   * visit方法,在每次进入字节码方法的时候调用 
  22.   * 在每次进入新方法的时候清空标志位 
  23.   */  
  24.  @Override  
  25.  public void visit(Code obj) {  
  26.   super.visit(obj);  
  27.  }  
  28.   
  29.  /** 
  30.   * 每扫描一条字节码就会进入sawOpcode方法 
  31.   *  
  32.   * @param seen  字节码的枚举值 
  33.   */  
  34.  @Override  
  35.  public void sawOpcode(int seen) {  
  36.   if (seen == GETSTATIC) {  
  37.    if (getClassConstantOperand().equals("java/lang/System")  
  38.            && (getNameConstantOperand().equals("out") || getNameConstantOperand().equals("error"))) {  
  39.     BugInstance bug = new BugInstance(this"ALP_SYSTEMCLASS", NORMAL_PRIORITY).addClassAndMethod(this)  
  40.             .addSourceLine(this, getPC());  
  41.     bug.addInt(getPC());  
  42.     bugReporter.reportBug(bug);  
  43.    }  
  44.   }  
  45.  }  
  46. }  
  

new BugInstance(this, "ALP_SYSTEMCLASS", NORMAL_PRIORITY) 
ALP_SYSTEMCLASS这个和findbugs.xml、message.xml中相对应 
findbugs的新规则开发使用了visit模式,我们只需要实现visit方法sawOpcode方法即可,当然实现复杂功能,有不同的父类

在findbugs.xml中把自己的Detector 声明出来

Xml代码 

[xhtml]  view plain  copy
  1. <Detector class="edu.umd.cs.findbugs.detect.AlipayForbiddenSystemClass"    
  2.    speed="fast"  
  3.      reports="ALP_SYSTEMCLASS"  
  4.      hidden="false" />  
  

message.xml
 

[xhtml]  view plain  copy
  1. <Detector class="edu.umd.cs.findbugs.detect.ForbiddenSystemClass">  
  2.    <Details>  
  3.     <!--[CDATA[  
  4.     <p>线上代码不能出现System.out  
  5.     <p>请使用log日志形式打印  
  6.     ]]>  
  7.    </Details>  
  8.   </Detector>  
  9.   
  10. <BugPattern type="ALP_ALIPAY_SYSTEMCLASS">  
  11.     <ShortDescription>线上代码不能出现System.out</ShortDescription>  
  12.     <LongDescription>{1}线上代码不能出现System.out,请使用log形式输出</LongDescription>  
  13.     <Details>  
  14.   <![CDATA[  
  15.     <p>不能使用System.out和System.err,请使用log</p>  
  16.   ]]-->  
  17.     </Details>  
  18.   </BugPattern>  

这里配置错误的显示信息

最终把 
java类、xml按照下面这个ant脚本的描述进行打包

[xhtml]  view plain  copy
  1. <project name="findbugs-plugin" default="build">  
  2.   
  3.  <property name="FindBugs.home" value="D:/Program Files/eclipse/plugins/edu.umd.cs.findbugs.plugin.eclipse_1.3.8.20090315"></property>这里是你的eclipse中findbugs的路径  
  4.  <target name="build">  
  5.  <jar destfile="AlipayFindBugsRules.jar">  
  6.   <fileset dir="bin"/>  
  7.   <fileset dir="src"/>  
  8.   <zipfileset dir="etc" includes="*.xml" prefix=""></zipfileset>  
  9.  </jar>  
  10.  <copy file="FindBugsRules.jar" todir="${FindBugs.home}/plugin" />  
  11. </target>  
  12.   
  13. </project>  
  
命令行ant就打包了,把打好的jar包放到findbugs插件的plugin目录下,重启eclipse就可以使用新的规则了 

whorus1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点功能,帮助你用它写博客: ...
eclipse中修改checkstyle和pmd、FindBugs规则集的方法
06-22
eclipse中修改checkstyle和pmd、FindBugs规则集的方法
使用SpotBugs/FindBugs进行代码检查
weixin_30920513的博客
01-25 375
原po:https://blog.csdn.net/zhangb00/article/details/8407070 SpotBugs 介绍  SpotBugs是Findbugs的继任者(Findbugs已经于2016年后不再维护,see https://mailman.cs.umd.edu/pipermail/findbugs-discuss/2016-November/004321.h...
java自定义findbugs规则_findbugs自定义规则并配置实现检测
weixin_39621235的博客
02-17 539
findbugs不过多介绍了,对于这个主题找了一些资料,没有找到一个完整的介绍,要么是介绍怎么写detector,要么就是没有完整的介绍怎么配置生效,下面主要介绍一下怎么配置其生效,至于怎么写这个detector还是有很多资料说明的,不过在些也重复一下。一、自定义detector1ForbidSystemOutClass检测类packagecom.test.findbugs;importorg....
eclipse插件findBugs
07-24
eclipse中直接安装时不成功,然后下载该zip,直接解压到plugins目录下,重启eclipse即可,注意文件名必须为版本号,不能为其他字符信息,否则不成功,亲测。
eclipse插件findbugs
04-22
eclipse插件
eclipse插件findbugs(两个版本)
10-10
直接解压将解压后的文件放到eclipse/plugin目录下,重启eclipse即可。 此压缩文件有两个版本(1.3.9和3.0.1)自行匹配,保证可用。
findbugs 代码检查 eclipse插件 3.0.0版本
01-18
http://sourceforge.jp/projects/sfnet_findbugs/downloads/findbugs eclipse plugin/3.0.0/edu.umd.cs.findbugs.plugin.eclipse_3.0.0.20140629-84d758f.zip/ 安装方法:直接解压后放到eclipse/plugin目录下即可,...
findbugs使用手册
09-05
findbugs bugs eclipse插件
FindBugs规则整理_中文版
08-17
FindBugs规则整理_中文版 支持规则大约有300个左右
eclipsefindbugs插件
12-18
将此插件解压放到eclipse的plugin目录下,在项目中选择build.xml文件,run as ant bulid,生成的html报告在d盘
静态代码扫描——FindBugs自定义规则入门
oggboy的专栏
07-06 8734
阅读本文前,建议先了解一下FindBugs的介绍和使用方法。 准备工作由于FindBugs是分析编译后的class文件,也就是字节码文件。我们需要了解FindBugs底层的处理机制。根据FindBugs官网文档描述,FindBugs使用了BCEL来分析Java字节码文件。从1.1版本开始,FindBugs也支持使用ASM字节码框架来编写bug探测器。 我们需要下载FindBugs源码版用来增自定
静态代码检查工具-FindBugs
NCNC
10-21 3140
提高代码的质量,除了要提高逻辑上的控制以及业务流程的理解外,代码本身也存在提高的空间,例如一些潜在的问题可以很早的就避免。类似于编码规范上的内容,如果全靠编码人员进行自行检查,那么无疑需要很大的工作量,如果可以使用代码的静态检查工具进行检查的话,那么将大大的提高编码的效率。本文是提高代码质量系列文章的第二篇,主要介绍了如何使用findbugs工具进行代码的自动化检查,以规避一些潜在的问题并找出
mybatisPlus使用MetaObjectHandler对字段进行更
m0_56356631的博客
04-23 808
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 871
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1811
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 858
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
eclipse安装findbugs插件
03-16
要在Eclipse中安装FindBugs插件,您可以按照以下步骤操作: 1. 打开Eclipse并选择“Help”菜单,然后选择“Eclipse Marketplace”选项。 2. 在搜索框中输入“FindBugs”,然后点击“Go”按钮。 3. 在搜索结果中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值