Java静态检测工具的简单介绍 - Sonar、Findbugs

时间 2019-11-10

标签 java 静态检测工具简单介绍 sonar findbugs 栏目 Java 繁體版

原文原文链接

静态检查：java

静态测试包括代码检查、静态结构分析、代码质量度量等。它能够由人工进行，充分发挥人的逻辑思惟优点，也能够借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面；能够发现违背程序编写标准的问题，程序中不安全、不明确和模糊的部分，找出程序中不可移植部分、违背程序编程风格的问题，包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。”。看了一系列的静态代码扫描或者叫静态代码分析工具后，总结对工具的见解：静态代码扫描工具，和编译器的某些功能实际上是很类似的，他们也须要词法分析，语法分析，语意分析...但和编译器不同的是他们能够自定义各类各样的复杂的规则去对代码进行分析。c++

静态检测工具：程序员

PMD算法

1)PMD是一个代码检查工具，它用于分析Java源代码，找出潜在的问题：数据库

1)潜在的bug：空的try/catch/finally/switch语句编程
2)未使用的代码：未使用的局部变量、参数、私有方法等api
3)可选的代码：String/StringBuffer的滥用安全
4)复杂的表达式：没必要须的if语句、可使用while循环完成的for循环架构
5)重复的代码：拷贝/粘贴代码意味着拷贝/粘贴bugs框架

2)PMD特色：

1)与其余分析工具不一样的是，PMD经过静态分析获知代码错误。也就是说，在不运行Java程序的状况下报告错误。
2)PMD附带了许多能够直接使用的规则，利用这些规则能够找出Java源程序的许多问题
3)用户还能够本身定义规则，检查Java代码是否符合某些特定的编码规范。

3)同时，PMD已经与JDeveloper、Eclipse、jEdit、JBuilder、BlueJ、CodeGuide、NetBeans、Sun JavaStudio Enterprise/Creator、IntelliJ IDEA、TextPad、Maven、Ant、Gel、JCreator以及Emacs集成在一块儿。
4)PMD规则是能够定制的: 可用的规则并不只限于内置规则。您能够添加新规则：能够经过编写Java代码并从新编译PDM，或者更简单些，编写XPath表达式，它会针对每一个Java类的抽象语法树进行处理。
5)只使用PDM内置规则，PMD也能够找到你代码中的一些真正问题。某些问题可能很小，但有些问题则可能很大。PMD不可能找到每一个bug，你仍然须要作单元测试和接受测试，在查找已知bug时，即便是PMD也没法替代一个好的调试器。
可是，PMD确实能够帮助你发现未知的问题。

FindBugs

1)FindBugs是一个开源的静态代码分析工具，基于LGPL开源协议，无需运行就能对代码进行分析的工具。不注重style及format，注重检测真正的bug及潜在的性能问题，尤为注意了尽量抑制误检测(false positives)的发生。以bytecode（*.class、*.jar）为对象进行检查。除了单独动做，还能够用做Eclipse 的plug-in，以及嵌入Ant做为task之一进行利用。
2)findbugs自带检测器的介绍: findbugs自带60余种Bad practice，80余种Correntness，1种Internationalization，12种Malicious code vulnerability，27种Multithreaded correntness，23种Performance，43种Dodgy。
3)Findbugs的一些特色：

1)FindBugs主要着眼于寻找代码中的缺陷，这就与其余相似工具备些区别了，直接操做类文件（class文件）而不是源代码。
2)FindBugs能够经过命令行、各类构建工具（如Ant、Maven等）、独立的Swing GUI或是以Eclipse和NetBeans IDE插件的方式来运行。
3)FindBugs输出结果既能够是XML的，也能够是文本形式的。
4)开发者能够经过多种方式来使用FindBugs，最多见的是在新编写模块的代码分析以及对现有代码进行更大范围的分析。
5)不注重style及format，注重检测真正的bug及潜在的性能问题，尤为注意了尽量抑制误检测(false positives)的发生。

4)FindBugs可检测的bug pattern举例:检测java programing中容易陷入的bug pattern，equals() 实现时的通常规约违反Null pointer的参照，Method的返回值的check遗漏，初始化前field的访问，Multi-thread的正确性，同期化处理的矛盾，无条件的wait()， Code的脆弱性，能够变动的静态object ，内部数列参照的return等

Checkstyle

1)定义： Checkstyle是一款检查Java程序源代码样式的工具。
2)特色：

1)它能够有效的帮助咱们检视代码以便更好的遵循代码编写标准，特别适用于小组开发时彼此间的样式规范和统一。
2)Checkstyle提供了高可配置性，以便适用于各类代码规范，因此除了使用它提供的几种常见标准以外，你也能够定制本身的标准。
3)Checkstyle提供了支持大多数常见IDE的插件，大部分插件中就含有最新的Checkstyle，就不用费心再部署一份了。
4)Checkstyle能够检查代码的不少方面，从传统观点看，它主要是用来检查代码层面的，自从第三版之后，它的内部架构做了重大改变，不少其它意图的检测加了进来，如今Checkstyle能够检查像类设计的问题，重复代码，如锁的双重检查的bug模式。

3)CheckStyle的主要流程是：

1)对Java文件进行词法语法分析，生成语法树。
2)载入配置文件（checkstyle-metadata.xml以及自定义的配置文件）register check事件。
3)按照深度优先遍历对语法树进行解析，按照注册的事件，在到达某些节点( AST ) 时进行style检查（AST，A child-Sibling Tree，是语法树中的某个节点，其类型在TokenTypes类中定义。）
4)咱们所说的自定义Style的检查，就是在第二步设定的。这里牵涉到一个叫com.puppycrawl.tools.checkstyle.api.Check 的类，咱们一般须要重载其中的两个函数： public int[] getDefaultTokens()和public void visitToken(DetailAST ast). 这两个函数的含义为，在遍历语法树的过程当中，每当到达getDefaultTokens函数所返回的AST类型，程序就进入visitToken进行具体的检查和分析，即，真正的分析检查过程是在visitToken中实现的。

Hammurapi

1)定义： Hammurapi它是一个开源的代码审查/评审(review)工具。它能够帮助改进Java代码的质量。它能够基于一套设计规范来分析代码库。当它碰到违反规范的地方，会在报告中标识。就像Checkstyle同样，它与Ant无缝集成而且由基于XML配置文件来驱动。
2)特色：

1)Hammurapi是用来强制代码设计规范的。
2)Hammurapi是一个遵循设计的工具，提供了自动并且一致的方式来实现设计规范，所以使代码评审更加有效而轻松。
3)Hammurapi如何工做：Hammurapi这样的代码分析工具都带有语言分析器。语言分析器是一种输入语言代码并输出抽象语法树的工具。这个树上的节点表明语言标识。例如，考虑一下简单的算术表达式：3+4. 语言分析器会解析他成为一个如图5所示的语法树。在这个树中，节点+表明操做符标识。节点3和4是操做数标识Hammurapi使用ANTLR（另外一个语言识别工具）做为语言分析器。然而ANTLR API是至关底层的。为改善可用性，Hammurapi使用另外一个API，基于ANTLR 的JSEL（Java源程序工程类库），来访问抽象语法树。一旦树构建完成，一种树遍历算法就被用来访问树中每个节点。每次访问到一个节点，一种回调机制（Visitor模式）被用来提示相应的检查器。在这些回调方法中，检查器收集相关的信息来肯定是否有违反规范的地方存在。

Lint4j

1)定义:Lint4J是一个针对Java的源代码分析工具，它能够对Java源码和字节码进行静态分析，判断其中是否存在死锁、性能问题或者伸缩性问题。它能够集成到任何IDE种或构建系统
2)特色：

1)检测代码语法规则
2)潜在的bug
3)检测编码模式对代码可读性及大小的影响
4)检测是否违反EJB规范

Sonar

1)定义：代码质量管理工具Sonar提供了设计与架构度量。Sonar 2.0引入了针对Java应用的设计分析、架构与面向对象的度量，Sonar 2.1能够检测到未使用的方法以及对不建议使用方法的调用。是一个集成了CheckStyle,PMD,Findbugs的代码校验规则 ,重复代码发现，代码测试覆盖率，代码注释率，及全部的检测率变化追踪的完美代码质量检查工具。它包含了代码质量检测的七个方面
2)特色：

1)代码覆盖：经过单元测试，将会显示哪行代码被选中。
2)改善编码规则。
3)搜寻编码规则：按照名字，插件，激活级别和类别进行查询。
4)项目搜寻：按照项目的名字进行查询。
5)对比数据：比较同一张表中的任何测量的趋势。
6)单元测试

3)Sonar2.1：

Sonar还基于Squid引入了一个全新的规则引擎、Sonar解析器既能够处理源代码，也能够处理字节码，解析器带有内建的规则，能够检测未使用的私有与保护方法以及客户端对不建议使用的方法的调用。Squid经过分析应用源代码、Java API和外部程序库的字节码来决定哪些方法、类和属性是不建议使用的。

Sonar 2.1的新特性：

1)一个全新的“Libraries”页面，显示了项目中全部的程序库和依赖，该特性要求使用Maven来构建项目。一旦在Sonar站点的主页上选择了一个项目，该服务就会以可视化的树形结构展现出项目依赖。此外，还有一个可选的动态过滤器，能够根据名称过滤程序库以便在应用的依赖间导航。
2)用于搜索程序库使用状况的“Dependencies”页面。好比说，能够搜索到使用了第三方框架如Commons Logging 1.1的全部项目。
3)可使用各类插件扩展Sonar的功能。如今有一个全新的“System Info”页面显示了系统属性、已装插件和Java虚拟机内存统计信息。该页面还给出了关于Sonar配置和数据库统计的详细信息。
4)一个用于管理已装插件和系统信息的管理控制台。最新版的Sonar为这些插件引入了一个测试框架和一个客户化的Maven生命周期管理工具。它还带有一个用于集成项目事件的Web Service并在项目的size widget中增长了一个新的度量模块。

JDepend

1)JDepend一个开放源代码的能够用来评价Java程序质量的优秀工具，它遍历Java class的文件目录，以Java包（package）为单位，为每个包/类自动生成包的依赖程度，稳定性，可靠度等的评价报告，根据这些报告，咱们能够获得包或类之间的依赖关系，并分析出包的稳定程度，抽象程度，是否存在循环依耐关系等。能够根据JDepend给出的报告数据，分析出咱们的包是不是可靠的，稳定的，健壮的包，是否符合面向对象的设计原则。
2)特色：

1)评价设计质量
2)翻转依赖性
3)支持并行开发和极限编程
4)独立的发布模块
5)识别package的循环依赖

3）Depend生成的Java包的质量评价报告主要包括：

1)Number of Classes and Interfaces：实现类与抽象接口的数目
2)Abstractness (A)：包的抽象度。指一个包内包含的抽象类或接口占整个包中的类的比重。
3)Afferent Couplings (Ca)：向心耦合。依赖该包（包含的类）的外部包（类）的数目（i.e. incoming dependencies），该数值越大，说明该包的担当的职责越大，也就越稳定。
4)Efferent Couplings (Ce)：离心耦合。被该包依赖的外部包的数目（i.e. outgoing dependencies），该数值越大，说明该包越不独立（由于依赖了别的包），也越不稳定。
5)Instability (I)：衡量一个包的不稳定程度。I=Ce/(Ce+Ca)。它的值处于[0，1]之间。I=0时说明包是最稳定的，反之I=1则说明包极不稳定。
6)Distance from the Main Sequence (D)：该指标主要用来评价包的抽象程度与稳定程度的平衡关系，它能够用二维直线图 A + I = 1 来表示。
7)Package Dependency Cycles：包的循环依赖度。

IBM Checking Tool for Bugs Errors and Mistakes(简称BEAM)

1) 定义：是 IBM 开发的一个静态分析工具，能够用于分析并查找出 C, C++ 和 Java代码中的一些不容易发现的潜在错误，从而达到提升代码质量的目的。同动态分析工具和其它静态分析工具相比，它拥有一些难得的特性。
2)特色：

1)对代码进行语法扫描，经过算法对代码进行检查分析
2)和一些 bug 模式进行比较，最终标明问题区域，输出分析结果
3)使用了额外的定理证实（theorem proving）技术来判断一个潜在的错误是不是真正的错误，从而减轻了程序员判断错误真伪所需的工做量

LDRA Testbed

1)定义：LDRA Testbed为应用软件的确认和验证提供强大的源代码测试和分析功能，是独特的质量控制工具。它有助于提升计算机软件必需的可靠性，健壮性和尽量的零缺陷，它的使用带来时间、成本和效率上真实的节省，这些都是没法衡量其价值的。它是强大和完整的集成工具包，使先进的软件分析技术应用在开发生命周期的关键阶段。
2)LDRA Testbed提供强大的分析功能，用于两个主要的测试领域，静态分析和动态分析。

1）静态分析：分析代码，而且提供对代码结构的理解。
2）动态分析：利用源代码的插装版本，使用测试数据执行，在运行时发现软件缺陷

3) 使用LDRA testbed 的好处软件开发和测试过程的成本效率分析工具单元、集成和系统测试的理想工具贯穿于软件开发的整个生命周期LDRA Testbed应用于许多不一样的领域过程改进软件测试软件维护
LDRA Testbed的优势：

改进软件质量
定位软件缺陷
强制执行工业标准
减小维护费用40％以上
减小开发和测试成本75％以上
经过自动化过程提升员工动力

Yasca

1) 定义：Yasca是一个开源静态代码分析工具插件框架,　集成流行的多语言静态分析工具如findbugs/pmd/jlint/rats/cppcheck,因为插件自己多样故可支持java c++等语言静态分析.Yasca是一个用来寻找安全漏洞，在程序的源代码中检测代码质量、性能以及一致性的软件。它集成了其余开源项目，其中包括FindBugs PMD ，JLint ， Cppcheck ，并扫描某些文件类型，以及自定义扫描书面的Yasca 这是一个命令行工具，与报告中生成的HTML ， CSV格式， XML，SQLite ，和其余格式。