go 语言静态分析工具--go vet

一、概念介绍

go vet是Go语言官方提供的一个静态分析工具，用于在编译阶段发现代码中潜在的问题，这些问题可能不会导致编译错误，但在运行时可能导致逻辑错误或其他问题。

二、检查范围

2.1、类型安全:

• 不兼容类型: 检测类型转换错误，比如将 string 赋值给 int。
• 未定义类型: 检测使用未定义类型的变量或常量。
• 空接口: 检测使用空接口时的错误，比如调用不存在的方法。
• 类型断言: 检测类型断言失败的情况。
• 泛型: 检查泛型代码中的类型错误。

2.2、代码风格:

• 未使用变量: 检测未使用的变量或常量，提示你删除它们。
• 重复代码: 检测代码块中的重复部分，提示你使用函数或循环来简化代码。
• 命名规范: 检测变量、函数、常量等命名是否符合 Go 语言的命名规范。
• 代码格式: 检测代码是否符合 Go 语言的格式规范，比如缩进、空格等。
• 潜在错误: 检测代码中可能存在错误的代码片段，比如使用 nil 指针、数组越界等。

2.3、资源管理:

• 内存泄漏: 检测可能导致内存泄漏的代码，比如使用 defer 关闭资源失败。
• 文件操作: 检测文件操作中的错误，比如打开文件失败、文件写入失败等。
• 网络操作: 检测网络操作中的错误，比如连接失败、数据传输失败等。
• 数据库操作: 检测数据库操作中的错误，比如 SQL 语句错误、数据库连接失败等。

2.4、并发安全:

• 数据竞争: 检测多个 goroutine 同时访问同一数据时可能出现的数据竞争问题。
• 死锁: 检测可能导致程序死锁的代码，比如多个 goroutine 互相等待对方的资源。
• 竞态条件: 检测可能出现竞态条件的代码，比如多个 goroutine 同时执行相同的操作。

2.5、其他错误:

• 使用过时的 API: 检测使用过时的 API 或函数，提示你使用新的 API。
• 安全漏洞: 检测可能导致安全漏洞的代码，比如 SQL 注入、跨站脚本攻击等。
• 性能问题: 检测可能导致性能问题的代码，比如使用循环遍历 map、使用 append 扩展切片等。

三、检测示例

3.1、未使用的变量和导入：

检测未被引用的局部变量、全局变量和导入的包。
如下：
var.go

package main

import "fmt"
import "os"

func main() {
    test()
}

func test() {
    str := "Hello"
    fmt.Printf("%d World", str)
}

go vet var.go 
# command-line-arguments
vet: ./var.go:4:8: "os" imported but not used

3.2、错误处理

检查是否忽略了重要的错误返回值，特别是标准库函数中返回的错误。

package main

import "fmt"

func main() {
    arr := [3]int{1, 2, 3}
    fmt.Println(arr[4]) // 潜在错误：数组越界访问
}

go vet array.go 
# command-line-arguments
vet: ./array.go:7:21: invalid argument: index 4 out of bounds [0:3]

3.3、格式化字符串：

确保Printf风格的函数调用中的格式字符串与传递的参数类型相匹配。
如下：
hello.go

package main

import "fmt"

func main() {
    test()
}

func test() {
    str := "Hello"
    fmt.Printf("%d World", str)
}

go vet hello.go 
# command-line-arguments
./hello.go:11:5: fmt.Printf format %d has arg str of wrong type string

3.4、类型转换：

检测可疑或不安全的类型转换，比如将一个整数转换为一个指针

package main

import "fmt"

func main() {
	var a int = 10
	var b string = "hello"

	fmt.Println(a + b) // 这里会报错，因为 int 和 string 类型不兼容
}

go vet type_change.go 
# command-line-arguments
vet: ./type_change.go:9:14: invalid operation: a + b (mismatched types int and string)

四、疑问讨论

4.1、单个文件多个错误的识别

当一个文件中有多个错误，如下文件，有一个导入包未引用，一个声明变量未引用，但go vet 只报一个错：
var.go

package main

import "fmt"
import "os"

func main() {
    test()
}

func test() {
	str01 := "world"
    str := "Hello"
    fmt.Printf("%d World", str)
}

go vet var.go 
# command-line-arguments
vet: ./var.go:11:2: str01 declared but not used

根据2.1可知，删除变量str01会报关于os的错误，那么go vet 是基于怎样的原理来识别错误的呢？有优先级吗？

gpt 给出如下答案：

go vet的设计原则之一是提供清晰、有针对性的反馈，以帮助开发者快速定位并解决代码中的潜在问题。它并不总是同时报告所有类型的错误，而是倾向于按照一定的逻辑顺序或优先级来展示问题。这样做有几个原因：

• 减少噪声：一次性展示所有类型的错误可能会使得输出难以阅读，尤其是当存在大量问题时。通过按类别或严重性排序问题，开发者可以更容易地集中精力解决最紧迫或最重要的问题。

• 逐步改进：在很多情况下，解决一个类别的问题（比如未使用的变量）可能会间接解决或暴露其他问题（比如未使用的导入）。因此，go vet可能选择先展示那些修改后可能导致其他警告消失的问题。

• 性能考量：虽然现代计算机资源丰富，但某些静态分析可能相当耗时，尤其是对于大型代码库。逐步报告问题可以让开发者尽早开始修复过程，而不需要等待所有分析完成。

• 可配置性：开发者可以根据需要调整go vet的行为，包括使用不同的标志或配置来控制报告哪些类型的诊断信息。这允许更灵活地适应不同的项目需求或个人偏好。

那么，go vet 报出错误有优先级吗？

go vet并没有明确公开其内部错误报告的优先级规则，因为这可能依赖于具体实现细节和版本更新。不过，从其设计目的和一般使用经验来看，我们可以推测它遵循一些通用的原则来决定错误报告的顺序：

• 编译错误：尽管这不是go vet直接负责的范畴，但在实际开发中，任何阻止代码编译通过的问题（如语法错误）应当优先解决。通常，开发者会在运行go vet之前先通过go build或IDE检查这类错误。

• 安全性问题：如果存在可能导致安全漏洞的代码模式，比如未检查的错误返回、不安全的类型转换或可疑的API使用，这些可能被赋予较高优先级，因为它们直接关系到应用的安全性和稳定性。

• 逻辑错误：包括可能误导开发者或导致程序行为不符合预期的代码，比如错误的格式化字符串、未初始化的变量使用等，这些通常会被优先报告。

• 代码质量与维护性问题：未使用的变量、未导出的返回值未被检查、未使用的导入等，这些虽然不影响程序的直接功能，但会影响代码的清晰度和可维护性，通常也会被报告。在这类问题中，未使用的变量和导入可能因为直接关联到资源浪费和代码整洁，而被视为相对较高的优先级。

参考文档

1、https://blog.csdn.net/techdashen/article/details/132523401

2、https://www.cnblogs.com/taoxiaoxin/p/17747338.html#13-go-vet