zoukankan      html  css  js  c++  java
  • 使用SpotBugs 进行代码检查

    SpotBugs 介绍
    SpotBugs是Findbugs的继任者(Findbugs已经于2016年后不再维护,see https://mailman.cs.umd.edu/pipermail/findbugs-discuss/2016-November/004321.html),用于对代码进行静态分析,查找相关的漏洞。

    目前SpotBugs 3.1.3 自带检测器,其中有90余种Bad practice,155余种Correctness,9种Experimental, 2种 Internationalization,17种Malicious code vulnerability,46种Multithreaded correctness,4种 Bogus random noise,37种Performance,11种 Security,87种Dodgy。

    Bad practice 不佳实践:常见代码错误,用于静态代码检查时进行缺陷模式匹配(如重写equals但没重写
    hashCode,或相反情况等)
    Correctness 可能导致错误的代码(如空指针引用、无限循环等)
    Experimental 实验性
    Internationalization 国际化相关问题(如错误的字符串转换等)
    Malicious code vulnerability 可能受到的恶意攻击(如访问权限修饰符的定义等)
    Multithreaded correctness 多线程的正确性(如多线程编程时常见的同步,线程调度问题等)
    BogusMultithreaded correctness 多线程的正确性(如多线程编程时常见的同步,线程调度问题等)
    Performance 运行时性能问题(如由变量定义,方法调用导致的代码低效问题等)
    Security 安全问题(如HTTP,SQL,DB等)
    Dodgy code 导致自身错误的代码(如未确认的强制转换、冗余的空值检查等)
    注: SpotBugs 需要当前的JDK环境为 1.8以上,但可以对1.0~1.9的代码来进行检查。

    SpotBugs 插件
    SpotBugs 还有对应的额外插件,用于扩展对应的规则,探测出更多的代码问题。

    fb-contrib
    目前最新为7.4.3,增加了大致130+条规则;其中因 FindBugs分叉,SpotBugs需要使用-sb版本。
    官网 : https://github.com/mebigfatguy/fb-contrib

    find-sec-bugs
    目前最新为 1.8.0,针对安全(Security)增加了大致70+条规则
    官网: https://github.com/find-sec-bugs/find-sec-bugs

    SpotBugs 使用
    Maven
    maven 插件方式使用 spotbugs及相关插件

    <plugin>
        <groupId>com.github.spotbugs</groupId>
        <artifactId>spotbugs-maven-plugin</artifactId>
        <version>3.1.1</version>
        <configuration>
            <plugins>
                <plugin>
                    <groupId>com.h3xstream.findsecbugs</groupId>
                    <artifactId>findsecbugs-plugin</artifactId>
                    <version>LATEST</version>
                </plugin>
                <plugin>
                    <groupId>com.mebigfatguy.fb-contrib</groupId>
                    <artifactId>fb-contrib</artifactId>
                    <version>7.4.3.sb</version>
                </plugin>
            </plugins>
        </configuration>
    </plugin>

    IDE环境
    Eclipse
    请在对应的marketplace 搜索或install new software来进行spotbugs的安装,正式版本的安装路径 https://spotbugs.github.io/eclipse/

    安装插件后,可以在对应的Preferences 进行更多SpotBugs plugin安装,参考如下图:


    可以通过以下网址获取最新的插件jar
    https://mvnrepository.com/artifact/com.mebigfatguy.fb-contrib/fb-contrib
    https://mvnrepository.com/artifact/com.h3xstream.findsecbugs/findsecbugs-plugin

    完成安装后,可以对java工程或者对应的类,右键进行 SpotBugs ->Find Bugs


    JetBrain IDEA
    目前没有SpotBugs插件,原FindBugs插件作者、IDEA还在讨论商标问题,请先使用 原有FindBugs代替。
    https://github.com/andrepdo/findbugs-idea/issues/265
    https://youtrack.jetbrains.com/issue/IDEA-201846

    其他
    其他更多内容可以参考SpotBugs 官方文档
    https://spotbugs.readthedocs.io/en/latest/installing.html
     

  • 相关阅读:
    Flasback数据库(闪回数据库)
    Oracle回收站
    PL/SQL中如何执行DDL、SCL?
    oracle中的隐式提交(auto commit)
    raise_application_error用法
    sqlplus中"-S"和"-L"用法
    愿随君,走天涯
    你的过去,我不曾参与;你的未来,与你紧相依
    Oracle中SAVEPOINT和ROLLBACK用法
    Linux基础命令-Nginx-正则表达式( grep sed awk )-Shell Script--etc
  • 原文地址:https://www.cnblogs.com/hzcya1995/p/13317399.html
Copyright © 2011-2022 走看看