區(qū)別是: findbug與pclint都是針對軟件漏洞進行代碼檢測的工具軟件。findbug針對的是Java代碼,pclint針對的是C代碼或者C++。 Findbugs是一款Java靜態(tài)代碼分析工具,與其他靜態(tài)分析工具(如Checkstyle和PMD)不同,F(xiàn)indbugs 不注重樣式或者格式
成都網(wǎng)絡(luò)公司-成都網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)10多年經(jīng)驗成就非凡,專業(yè)從事成都網(wǎng)站設(shè)計、做網(wǎng)站,成都網(wǎng)頁設(shè)計,成都網(wǎng)頁制作,軟文平臺,1元廣告等。10多年來已成功提供全面的成都網(wǎng)站建設(shè)方案,打造行業(yè)特色的成都網(wǎng)站建設(shè)案例,建站熱線:13518219792,我們期待您的來電!
本文首先介紹了靜態(tài)代碼分析的基本概念及主要技術(shù),隨后分別介紹了現(xiàn)有 4 種主流 Java 靜態(tài)代碼分析工具 (Checkstyle,F(xiàn)indBugs,PMD,Jtest),最后從功能、特性等方面對它們進行分析和比較,希望能夠幫助 Java 軟件開發(fā)人員了解靜態(tài)代碼分析工具,并選擇合適的工具應用到軟件開發(fā)中。
引言
在 Java 軟件開發(fā)過程中,開發(fā)團隊往往要花費大量的時間和精力發(fā)現(xiàn)并修改代碼缺陷。Java 靜態(tài)代碼分析(static code analysis)工具能夠在代碼構(gòu)建過程中幫助開發(fā)人員快速、有效的定位代碼缺陷并及時糾正這些問題,從而極大地提高軟件可靠性并節(jié)省軟件開發(fā)和測試成 本。目前市場上的 Java 靜態(tài)代碼分析工具種類繁多且各有千秋,因此本文將分別介紹現(xiàn)有 4 種主流 Java 靜態(tài)代碼分析工具 (Checkstyle,F(xiàn)indBugs,PMD,Jtest),并從功能、特性等方面對它們進行分析和比較,希望能夠幫助 Java 軟件開發(fā)人員了解靜態(tài)代碼分析工具,并選擇合適的工具應用到軟件開發(fā)中。
靜態(tài)代碼分析工具簡介
什么是靜態(tài)代碼分析
靜態(tài)代碼分析是指無需運行被測代碼,僅通過分析或檢查源程序的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性,找出代碼隱藏的錯誤和缺陷,如參數(shù)不匹配,有歧義的嵌套語句,錯誤的遞歸,非法計算,可能出現(xiàn)的空指針引用等等。
在軟件開發(fā)過程中,靜態(tài)代碼分析往往先于動態(tài)測試之前進行,同時也可以作為制定動態(tài)測試用例的參考。統(tǒng)計證明,在整個軟件開發(fā)生命周期中,30% 至 70% 的代碼邏輯設(shè)計和編碼缺陷是可以通過靜態(tài)代碼分析來發(fā)現(xiàn)和修復的。
但是,由于靜態(tài)代碼分析往往要求大量的時間消耗和相關(guān)知識的積累,因此對于軟件開發(fā)團隊來說,使用靜態(tài)代碼分析工具自動化執(zhí)行代碼檢查和分析,能夠極大地提高軟件可靠性并節(jié)省軟件開發(fā)和測試成本。
靜態(tài)代碼分析工具的優(yōu)勢
1. 幫助程序開發(fā)人員自動執(zhí)行靜態(tài)代碼分析,快速定位代碼隱藏錯誤和缺陷。
2. 幫助代碼設(shè)計人員更專注于分析和解決代碼設(shè)計缺陷。
3. 顯著減少在代碼逐行檢查上花費的時間,提高軟件可靠性并節(jié)省軟件開發(fā)和測試成本。
Java 靜態(tài)代碼分析理論基礎(chǔ)和主要技術(shù)
缺陷模式匹配:缺陷模式匹配事先從代碼分析經(jīng)驗中收集足夠多的共性缺陷模式,將待分析代碼與已有的共性缺陷模式進行模式匹配,從而完成軟件的安全分析。這種方式的優(yōu)點是簡單方便,但是要求內(nèi)置足夠多缺陷模式,且容易產(chǎn)生誤報。
類型推斷:類型推斷技術(shù)是指通過對代碼中運算對象類型進行推理,從而保證代碼中每條語句都針對正確的類型執(zhí)行。這種技術(shù)首先將預定義一套類型機制,包括類 型等價、類型包含等推理規(guī)則,而后基于這一規(guī)則進行推理計算。類型推斷可以檢查代碼中的類型錯誤,簡單,高效,適合代碼缺陷的快速檢測。
模型檢查:模型檢驗建立于有限狀態(tài)自動機的概念基礎(chǔ)之上,這一理論將被分析代碼抽象為一個自動機系統(tǒng),并且假設(shè)該系統(tǒng)是有限狀態(tài)的、或者是可以通過抽象歸 結(jié)為有限狀態(tài)。模型檢驗過程中,首先將被分析代碼中的每條語句產(chǎn)生的影響抽象為一個有限狀態(tài)自動機的一個狀態(tài),而后通過分析有限狀態(tài)機從而達到代碼分析的 目的。模型檢驗主要適合檢驗程序并發(fā)等時序特性,但是對于數(shù)據(jù)值域數(shù)據(jù)類型等方面作用較弱。
數(shù)據(jù)流分析:數(shù)據(jù)流分析也是一種軟件驗證技術(shù),這種技術(shù)通過收集代碼中引用到的變量信息,從而分析變量在程序中的賦值、引用以及傳遞等情況。對數(shù)據(jù)流進行 分析可以確定變量的定義以及在代碼中被引用的情況,同時還能夠檢查代碼數(shù)據(jù)流異常,如引用在前賦值在后、只賦值無引用等。數(shù)據(jù)流分析主要適合檢驗程序中的 數(shù)據(jù)域特性。
現(xiàn)有主流 Java 靜態(tài)分析工具
Checkstyle
Checkstyle 是 SourceForge 的開源項目,通過檢查對代碼編碼格式,命名約定,Javadoc,類設(shè)計等方面進行代碼規(guī)范和風格的檢查,從而有效約束開發(fā)人員更好地遵循代碼編寫規(guī)范。
Checkstyle 提供了支持大多數(shù)常見 IDE 的插件,文本主要使用 Eclipse 中的 Checkstyle 插件。如下圖 1 所示,Checkstyle 對代碼進行編碼風格檢查,并將檢查結(jié)果顯示在 Problems 視圖中。圖中,代碼編輯器中每個放大鏡圖標表示一個 Checkstyle 找到的代碼缺陷。開發(fā)人員可通過在 Problems 視圖中查看錯誤或警告詳細信息。
圖 1. 使用 Checkstyle 進行編碼風格檢查
此外,Checkstyle 支持用戶根據(jù)需求自定義代碼檢查規(guī)范,在下圖 2 中的配置面板中,用戶可以在已有檢查規(guī)范如命名約定,Javadoc,塊,類設(shè)計等方面的基礎(chǔ)上添加或刪除自定義檢查規(guī)范。
圖 2. 使用 Checkstyle 添加自定義代碼檢查規(guī)范
FindBugs
FindBugs 是由馬里蘭大學提供的一款開源 Java 靜態(tài)代碼分析工具。FindBugs 通過檢查類文件或 JAR 文件,將字節(jié)碼與一組缺陷模式進行對比從而發(fā)現(xiàn)代碼缺陷,完成靜態(tài)代碼分析。FindBugs 既提供可視化 UI 界面,同時也可以作為 Eclipse 插件使用。文本將主要使用將 FindBugs 作為 Eclipse 插件。在安裝成功后會在 eclipse 中增加 FindBugs perspective,用戶可以對指定 Java 類或 JAR 文件運行 FindBugs,此時 FindBugs 會遍歷指定文件,進行靜態(tài)代碼分析,并將代碼分析結(jié)果顯示在 FindBugs perspective 的 bugs explorer 中,如下圖 3 所示:
圖 3. 使用 FindBugs 進行靜態(tài)代碼分析
圖中 Bug Explorer 中的灰色圖標處為 Bug 類型,每種分類下紅色圖標表示 bug 較為嚴重,黃色的圖標表示 bug 為警告程度。Propreties 列出了 bug 的描述信息及修改方案。
此外,F(xiàn)indBugs 還為用戶提供定制 Bug Pattern 的功能。用戶可以根據(jù)需求自定義 FindBugs 的代碼檢查條件,如下圖 4 所示:
圖 4. 使用 FindBugs 添加自定義代碼檢查規(guī)范
PMD
PMD 是由 DARPA 在 SourceForge 上發(fā)布的開源 Java 代碼靜態(tài)分析工具。PMD 通過其內(nèi)置的編碼規(guī)則對 Java 代碼進行靜態(tài)檢查,主要包括對潛在的 bug,未使用的代碼,重復的代碼,循環(huán)體創(chuàng)建新對象等問題的檢驗。PMD 提供了和多種 Java IDE 的集成,例如 Eclipse,IDEA,NetBean 等。本文主要使用 PMD 以插件方式與 Eclipse 集成。如下圖 5 所示:在 Violations Overview 視圖中,按照代碼缺陷嚴重性集中顯示了 PMD 靜態(tài)代碼分析的結(jié)果。
圖 5. 使用 PMD 進行靜態(tài)代碼分析
PMD 同樣也支持開發(fā)人員對代碼檢查規(guī)范進行自定義配置。開發(fā)人員可以在下圖 6 中的面板中添加、刪除、導入、導出代碼檢查規(guī)范。
圖 6. 使用 PMD 添加自定義代碼檢查規(guī)范
Jtest
Jtest 是 Parasoft 公司推出的一款針對 Java 語言的自動化代碼優(yōu)化和測試工具,Jtest 的靜態(tài)代碼分析功能能夠按照其內(nèi)置的超過 800 條的 Java 編碼規(guī)范自動檢查并糾正這些隱蔽且難以修復的編碼錯誤。同時,還支持用戶自定義編碼規(guī)則,幫助用戶預防一些特殊用法的錯誤。Jtest 提供了基于 Eclipse 的插件安裝。Jtest 支持開發(fā)人員對 Java 代碼進行編碼規(guī)范檢查,并在 Jtask 窗口中集中顯示檢查結(jié)果,如下圖 7 所示:
圖 7. 使用 Jtest 進行靜態(tài)代碼分析
同時,Jtest 還提供了對用戶定制代碼檢查配置甚至自定義編碼規(guī)則的支持,這一功能使得開發(fā)人員可以基于不同場景定制所需要的編碼規(guī)范,如圖 8 所示:
圖 8. 使用 Jtest 添加自定義代碼檢查規(guī)范
Java 靜態(tài)分析工具對比
本章節(jié)將從以下幾個方面對上述 Java 靜態(tài)分析工具進行比較:
應用技術(shù)及分析對象
下表 1 列出了不同工具的分析對象及應用技術(shù)對比:
表 1. 不同工具的分析對象及應用技術(shù)對比
Java 靜態(tài)分析工具
分析對象
應用技術(shù)
Checkstyle ? ?Java 源文件 ? ?缺陷模式匹配 ?
FindBugs ? ?字節(jié)碼 ? ?缺陷模式匹配;數(shù)據(jù)流分析 ?
PMD ? ?Java 源代碼 ? ?缺陷模式匹配 ?
Jtest ? ?Java 源代碼 ? ?缺陷模式匹配;數(shù)據(jù)流分析 ?
內(nèi)置編程規(guī)范
Checkstyle:
Javadoc 注釋:檢查類及方法的 Javadoc 注釋
命名約定:檢查命名是否符合命名規(guī)范
標題:檢查文件是否以某些行開頭
Import 語句:檢查 Import 語句是否符合定義規(guī)范
代碼塊大小,即檢查類、方法等代碼塊的行數(shù)
空白:檢查空白符,如 tab,回車符等
修飾符:修飾符號的檢查,如修飾符的定義順序
塊:檢查是否有空塊或無效塊
代碼問題:檢查重復代碼,條件判斷,魔數(shù)等問題
類設(shè)計:檢查類的定義是否符合規(guī)范,如構(gòu)造函數(shù)的定義等問題
FindBugs:
Bad practice 壞的實踐:常見代碼錯誤,用于靜態(tài)代碼檢查時進行缺陷模式匹配
Correctness 可能導致錯誤的代碼,如空指針引用等
國際化相關(guān)問題:如錯誤的字符串轉(zhuǎn)換
可能受到的惡意攻擊,如訪問權(quán)限修飾符的定義等
多線程的正確性:如多線程編程時常見的同步,線程調(diào)度問題。
運行時性能問題:如由變量定義,方法調(diào)用導致的代碼低效問題。
PMD:
可能的 Bugs:檢查潛在代碼錯誤,如空 try/catch/finally/switch 語句
未使用代碼(Dead code):檢查未使用的變量,參數(shù),方法
復雜的表達式:檢查不必要的 if 語句,可被 while 替代的 for 循環(huán)
重復的代碼:檢查重復的代碼
循環(huán)體創(chuàng)建新對象:檢查在循環(huán)體內(nèi)實例化新對象
資源關(guān)閉:檢查 Connect,Result,Statement 等資源使用之后是否被關(guān)閉掉
Jtest
可能的錯誤:如內(nèi)存破壞、內(nèi)存泄露、指針錯誤、庫錯誤、邏輯錯誤和算法錯誤等
未使用代碼:檢查未使用的變量,參數(shù),方法
初始化錯誤:內(nèi)存分配錯誤、變量初始化錯誤、變量定義沖突
命名約定:檢查命名是否符合命名規(guī)范
Javadoc 注釋:檢查類及方法的 Javadoc 注釋
線程和同步:檢驗多線程編程時常見的同步,線程調(diào)度問題
國際化問題:
垃圾回收:檢查變量及 JDBC 資源是否存在內(nèi)存泄露隱患
錯誤檢查能力
為比較上述 Java 靜態(tài)分析工具的代碼缺陷檢測能力,本文將使用一段示例代碼進行試驗,示例代碼中將涵蓋我們開發(fā)中的幾類常見錯誤,如引用操作、對象操作、表達式復雜化、數(shù) 組使用、未使用變量或代碼段、資源回收、方法調(diào)用及代碼設(shè)計幾個方面。最后本文將分別記錄在默認檢查規(guī)范設(shè)置下,不同工具對該示例代碼的分析結(jié)果。以下為 示例代碼 Test.java。其中,代碼的注釋部分列舉了代碼中可能存在的缺陷。
清單 1. Test.java 示例代碼
package Test;import java.io.*;public class Test {/** ? ? * Write the bytes from input stream to output stream. ? ? * The input stream and output stream are not closed. ? ? * @param is ? ? * @param os ? ? * @throws IOException ? ? */public boolean copy(InputStream is, OutputStream os)throws IOException {intcount = 0;//缺少空指針判斷byte[] buffer =new byte[1024];while((count = is.read(buffer)) = 0) {os.write(buffer,0, count);}//未關(guān)閉I/O流returntrue;}/** ? ? * ? ? * @param a ? ? * @param b ? ? * @param ending ? ? * @return copy the elements from a to b, and stop when meet element ending ? ? */publicvoid copy(String[] a, String[] b, String ending){intindex;String temp =null;//空指針錯誤System.out.println(temp.length());//未使用變量intlength=a.length;for(index=0; indexa.length; index++){//多余的if語句if(true){//對象比較 應使用equalsif(temp==ending){break;}//缺少 數(shù)組下標越界檢查b[index]=temp;}}}/**? ? ?*? ? ?* @param file? ? ?* @return file contents as stri if file does not exist? ? ?*/public void? readFile(File file) {InputStream is =null;OutputStream os =null;try{is =new BufferedInputStream(newFileInputStream(file));os =new ByteArrayOutputStream();//未使用方法返回值copy(is,os);is.close();os.close();}catch (IOException e) {//可能造成I/O流未關(guān)閉e.printStackTrace();}finally{//空的try/catch/finally塊}}}
通過以上測試代碼,我們對已有 Java 靜態(tài)代碼分析工具的檢驗結(jié)果做了如下比較,如下表 2 所示。
表 2. Java 靜態(tài)代碼分析工具對比
代碼缺陷分類
示例
Checkstyle
FindBugs
PMD
Jtest
引用操作 ? ?空指針引用 ? ?√ ? ?√ ? ?√ ? ?√ ?
對象操作 ? ?對象比較(使用 == 而不是 equals) ? ?? ? ?√ ? ?√ ? ?√ ?
表達式復雜化 ? ?多余的 if 語句 ? ?? ? ?? ? ?√ ? ?? ?
數(shù)組使用 ? ?數(shù)組下標越界 ? ?? ? ?? ? ?? ? ?√ ?
未使用變量或代碼段 ? ?未使用變量 ? ?? ? ?√ ? ?√ ? ?√ ?
資源回收 ? ?I/O 未關(guān)閉 ? ?? ? ?√ ? ?? ? ?√ ?
方法調(diào)用 ? ?未使用方法返回值 ? ?? ? ?√ ? ?? ? ?? ?
代碼設(shè)計 ? ?空的 try/catch/finally 塊 ? ?? ? ?? ? ?√ ? ?? ?
由表中可以看出幾種工具對于代碼檢查各有側(cè)重。其中,Checkstyle 更偏重于代碼編寫格式,及是否符合編碼規(guī)范的檢驗,對代碼 bug 的發(fā)現(xiàn)功能較弱;而 FindBugs,PMD,Jtest 著重于發(fā)現(xiàn)代碼缺陷。在對代碼缺陷檢查中,這三種工具在針對的代碼缺陷類別也各有不同,且類別之間有重疊。
總結(jié)
本文分別從功能、特性和內(nèi)置編程規(guī)范等方面詳細介紹了包括 Checkstyle,F(xiàn)indBugs,PMD,Jtest 在內(nèi)的四種主流 Java 靜態(tài)代碼分析工具,并通過一段 Java 代碼示例對這四種工具的代碼分析能力進行比較。由于這四種工具內(nèi)置編程規(guī)范各有不同,因此它們對不同種類的代碼問題的發(fā)現(xiàn)能力也有所不同。其中 Checkstyle 更加偏重于代碼編寫格式檢查,而 FindBugs,PMD,Jtest 著重于發(fā)現(xiàn)代碼缺陷。最后,希望本文能夠幫助 Java 軟件開發(fā)和測試人員進一步了解以上四種主流 Java 靜態(tài)分析工具,并幫助他們根據(jù)需求選擇合適的工具。
靜態(tài)代碼分析原理分為兩種:分析源代碼編譯后的中間文件(如Java的字節(jié)碼);分析源文件。主要分析技術(shù)如下:
缺陷模式匹配
事先從代碼分析經(jīng)驗中收集足夠多的共性缺陷模式,將待分析代碼與已有的共性缺陷模式進行匹配,從而完成軟件安全分析。優(yōu)點:簡單方便;缺點:需要內(nèi)置足夠多的缺陷模式,容易產(chǎn)生誤報。
類型推斷/類型推斷
類型推斷技術(shù)是指通過對代碼中運算對象類型進行推理,從而保證代碼中每條語句都針對正確的類型執(zhí)行。
模型檢查
建立于有限狀態(tài)自動機的概念基礎(chǔ)上。將每條語句產(chǎn)生的影響抽象為有限狀態(tài)自動機的一個狀態(tài),再通過分析有限狀態(tài)機達到分析代碼目的。
校驗程序并發(fā)等時序特性。
數(shù)據(jù)流分析
從程序代碼中收集程序語義信息,抽象成控制流圖,可以通過控制流圖,不必真實的運行程序,可以分析發(fā)現(xiàn)程序運行時的行為。
用來檢查編譯器無法發(fā)現(xiàn)的更復雜一點的錯誤,最大可能避免(可能出現(xiàn)的)運行錯誤。很多代碼寫法編譯器不報錯,嚴格來講也沒錯,但是會極大增加運行時報錯的風險,靜態(tài)檢查工具就是用來跑程序之前盡量發(fā)現(xiàn)這些問題。例如變量引用前沒有判空啦多線程引用變量沒有鎖啦blahblahblah
Java已經(jīng)存在很長時間了,當你使用不同的軟件模式,你要清楚自己的代碼如何影響生產(chǎn),任何問題都要考慮的全面一些。
如果你給其他程序員提供API,請嚴格按照約定編寫。
請讀一本關(guān)于在有限內(nèi)存設(shè)備上編程的書。
學習如何在小型設(shè)備上操縱像素。
一旦你學會了這些,那你就可以在任何設(shè)備上工作了,因為這些設(shè)備相對來說,運行更快、內(nèi)存更大。
新的開發(fā)者需要理解面向?qū)ο缶幊痰暮锰幷Z法,并確保對象容易理解。
代碼庫能夠幫助開發(fā)者上手。
像Lynda和Dzone這樣的網(wǎng)站提供了很多Java相關(guān)的資源,所以Java比任何其他語言都更容易入門。
因為Java,Java很酷。
聰明的開發(fā)者反復重申要少使用Java。
Java提供了Java一樣的功能,能夠跨瀏覽器支持,所以用Java你能做任何事情,不用考慮瀏覽器兼容性。
記住要使用工具。
它越來越好,但仍落后于其他平臺。
我對于容器化技術(shù)有很高的期望。
基于云的開發(fā)工具正在不斷完善。
他們將預置到工作中使你的工作更簡單。
確保工具好用。
開發(fā)者應該記住Java的靜態(tài)類型檢查是自動化測試的另一種形式。
構(gòu)建代碼的時候應該更多的用靜態(tài)類型檢查而不是其他形式的自動化測試。
具體來說,我們發(fā)現(xiàn)如果一個開發(fā)人員使用Java語言的時間比其他語言多的話,他們更傾向于花費時間構(gòu)造代碼來讓編譯器檢查錯誤條件。
通常這種努力比花在自動化測試上更好,自動化測試可能會產(chǎn)生更多的錯誤條件。
Java不一定是所有應用程序的最佳解決方案。
例如,JVM比同等的C程序更消耗內(nèi)存,科學計算和數(shù)值分析通常用Python來寫,C#更適合異步編程。
然后試著學習理解某一領(lǐng)域的軟件,如果你掌握的知識太廣,那么你很難再取得進一步提升。
你需要理解基礎(chǔ)架構(gòu),不要因為需要花費太多時間學習就放棄某一語言。
你對軟件幕后工作原理了解的越多,你就會變得越有價值。
知道事務(wù)如何運作的原理是基礎(chǔ),請保持不斷學習。
掌握完整的Java知識是一種良好的基本技能,這是開發(fā)者的關(guān)鍵投資。
很多企業(yè)都在尋找最聰明的工程師,他們很少關(guān)注特定的語言。
往往要求們開發(fā)人員需要有很強的編碼能力,熟悉計算機基礎(chǔ)知識,了解真實世界的應用程序,知道如何編寫Java應用服務(wù)器程序,理解如何調(diào)用API,理解計算機科學的核心和算法。
企業(yè)需要基礎(chǔ)扎實的開發(fā)人員。
IT培訓建議請在工作中實踐核心算法和熟悉的數(shù)據(jù)結(jié)構(gòu)。
在Java生態(tài)系統(tǒng)中尋找最簡單的達到目標的方法,參與開源,從修改一行bug這種小時做起,不斷進步。