Java-idea-FindBugs字节码级别潜在bug查看

一、概述

  静态分析工具承诺无需开发人员费劲就能找出代码中已有的缺陷。

  FindBugs 不注重样式或者格式,它试图只寻找真正的缺陷或者潜在的性能问题。

  FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式(请参阅 参考资料)。图 1 显示了分析一个匿名项目的结果(为防止可怕的犯罪,这里不给出它的名字):
  在FindBugs的GUI中,需要先选择待扫描的.class文件(FindBugs其实就是对编译后的class进行扫描,藉以发现一些隐藏的bug。)。如果你拥有这些.class档对应的源文件,可把这些.java文件再选上,这样便可以从稍后得出的报告中快捷的定位到出问题的代码上面。此外,还可以选上工程所使用的library,这样似乎可以帮助FindBugs做一些高阶的检查,藉以发现一些更深层的bug。
  选定了以上各项后,便可以开始检测了。检测的过程可能会花好几分钟,具体视工程的规模而定。检测完毕可生成一份详细的报告,藉由这份报告,可以发现许多代码中间潜在的bug。比较典型的,如引用了空指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的(classic) bug后,可以确信的是,我们的系统稳定度将会上一个新的台阶。
二、官方地址
  地址:http://findbugs.sourceforge.net/
三、使用
  1、安装
    File→setting→plugins→findbugs
    安装即可
  2、配置显示
    View→Tool Windows →FindBugs IDEA
  3、鼠标悬浮查看具体含义即可
    

   4、结果说明

    1->Bad pratice编程的坏习惯 
      主要是命名问题,比如类名最好以大写开头,字符串不要使用等号不等号进行比较,可能会有异常最好用try-catch包裹的代码,方法有返回值但被忽略等等,这些如果不想改可以直接忽略.

    2->Malicious code vulnerability 恶意代码漏洞 
      主要是一些属性直接使用public让别的类来获取,建议改为private并为其提供get/set方法. 
      还有一些public的静态字段,可能会被别的包获取之类的. 
      这些也需要根据项目具体情况来,个人意见,在有的不重要类,有时直接公开使用属性,可能更为便捷.如果你认为这些不需要修改,完全可以忽略.

    3->Dodgy code 糟糕的代码 
      比如一个double/float被强制转换成int/long可能会导致精度损失,一些接近零的浮点数会被直接截断,事实上我们应该保留. 
      在规范代码,尽量规避错误这方面我也有了一些收获. 
        在类型转换的时候,我们应该为类型转换提供一个安全的转换方法,因为我们永远不会知道,我们的app在用户手里会发生什么,所以我们要尽可能的去减少这种发生错误的可能.

      比如使用switch的时候没有提供default。

      多余的空检查,就是不可能为空的值,增加了不为空判断,这是没有必要的。属于代码冗余

      不安全的类型转换等等。 

    4->performance 性能 
      主要是一些无用的代码,比如声明了没有用到的属性等等

    5->correctness 代码的正确性 这一项应该算是最重要的了 
      主要是没有对变量进行不为空判定,在特殊情况可能发生空指针异常.

posted @ 2017-04-24 17:49  bjlhx15  阅读(966)  评论(0编辑  收藏  举报
Copyright ©2011~2020 JD-李宏旭