Java靜態檢測工具/Java代碼規範和質量檢查簡單介紹(轉)

靜態檢查:java

靜態測試包括代碼檢查、靜態結構分析、代碼質量度量等。它能夠由人工進行,充分發揮人的邏輯思惟優點,也能夠藉助軟件工具自動進行。代碼檢查代碼檢查包括代碼走查、桌面檢查、代碼審查等,主要檢查代碼和設計的一致性, 代碼對標準的遵循、可讀性,代碼的邏輯表達的正確性,代碼結構的合理性等方面;能夠發現違背程序編寫標準的問題,程序中不安全、不明確和模糊的部分,找出程序中不可移植部分、違背程序編程風格的問題,包括變量檢查、命名和類型審查、程序邏輯審查、程序語法檢查和程序結構檢查等內容。」。看了一系列的靜態代碼掃描或者叫靜態代碼分析工具後,總結對工具的見解:靜態代碼掃描工具,和編譯器的某些功能實際上是很類似的,他們也須要詞法分析,語法分析,語意分析...但和編譯器不同的是他們能夠自定義各類各樣的複雜的規則去對代碼進行分析。c++

靜態檢測工具:程序員

PMD算法

  • 1)PMD是一個代碼檢查工具,它用於分析Java源代碼,找出潛在的問題:
    • 1)潛在的bug:空的try/catch/finally/switch語句
    • 2)未使用的代碼:未使用的局部變量、參數、私有方法等
    • 3)可選的代碼:String/StringBuffer的濫用
    • 4)複雜的表達式:沒必要須的if語句、可使用while循環完成的for循環
    • 5)重複的代碼:拷貝/粘貼代碼意味着拷貝/粘貼bugs
  • 2)PMD特色:
    • 1)與其餘分析工具不一樣的是,PMD經過靜態分析獲知代碼錯誤。也就是說,在不運行Java程序的狀況下報告錯誤。
    • 2)PMD附帶了許多能夠直接使用的規則,利用這些規則能夠找出Java源程序的許多問題
    • 3)用戶還能夠本身定義規則,檢查Java代碼是否符合某些特定的編碼規範。
  • 3)同時,PMD已經與JDeveloper、Eclipse、jEdit、JBuilder、BlueJ、CodeGuide、NetBeans、Sun JavaStudio Enterprise/Creator、IntelliJ IDEA、TextPad、Maven、Ant、Gel、JCreator以及Emacs集成在一塊兒。
  • 4)PMD規則是能夠定製的: 可用的規則並不只限於內置規則。您能夠添加新規則:能夠經過編寫Java代碼並從新編譯PDM,或者更簡單些,編寫XPath表達式,它會針對每一個Java類的抽象語法樹進行處理。
  • 5)只使用PDM內置規則,PMD也能夠找到你代碼中的一些真正問題。某些問題可能很小,但有些問題則可能很大。PMD不可能找到每一個bug,你仍然須要作單元測試和接受測試,在查找已知bug時,即便是PMD也沒法替代一個好的調試器。
  • 可是,PMD確實能夠幫助你發現未知的問題。

FindBugs數據庫

  • 1)FindBugs是一個開源的靜態代碼分析工具,基於LGPL開源協議,無需運行就能對代碼進行分析的工具。不注重style及format,注重檢測真正的bug及潛在的性能問題 ,尤爲注意了儘量抑制誤檢測(false positives)的發生。以bytecode(*.class、*.jar)爲對象進行檢查。除了單獨動做,還能夠用做Eclipse 的plug-in,以及嵌入Ant做爲task之一 進行利用。
  • 2)findbugs自帶檢測器的介紹: findbugs自帶60餘種Bad practice,80餘種Correntness,1種Internationalization,12種Malicious code vulnerability,27種Multithreaded correntness,23種Performance,43種Dodgy。
  • 3)Findbugs的一些特色:
    • 1)FindBugs主要着眼於尋找代碼中的缺陷,這就與其餘相似工具備些區別了,直接操做類文件(class文件)而不是源代碼。
    • 2)FindBugs能夠經過命令行、各類構建工具(如Ant、Maven等)、獨立的Swing GUI或是以Eclipse和NetBeans IDE插件的方式來運行。
    • 3)FindBugs輸出結果既能夠是XML的,也能夠是文本形式的。
    • 4)開發者能夠經過多種方式來使用FindBugs,最多見的是在新編寫模塊的代碼分析以及對現有代碼進行更大範圍的分析。
    • 5)不注重style及format,注重檢測真正的bug及潛在的性能問題,尤爲注意了儘量抑制誤檢測(false positives)的發生。
  • 4)FindBugs可檢測的bug pattern舉例:檢測java programing中容易陷入的bug pattern,equals() 實現時的通常規約違反Null pointer的參照 ,Method的返回值的check遺漏 ,初始化前field的訪問,Multi-thread的正確性, 同期化處理的矛盾, 無條件的wait(), Code的脆弱性 ,能夠變動的靜態object ,內部數列參照的return等

Checkstyle編程

  • 1)定義: Checkstyle是一款檢查Java程序源代碼樣式的工具。
  • 2)特色:
    • 1)它能夠有效的幫助咱們檢視代碼以便更好的遵循代碼編寫標準,特別適用於小組開發時彼此間的樣式規範和統一。
    • 2)Checkstyle提供了高可配置性,以便適用於各類代碼規範,因此除了使用它提供的幾種常見標準以外,你也能夠定製本身的標準。
    • 3)Checkstyle提供了支持大多數常見IDE的插件,大部分插件中就含有最新的Checkstyle,就不用費心再部署一份了。
    • 4)Checkstyle能夠檢查代碼的不少方面,從傳統觀點看,它主要是用來檢查代碼層面的,自從第三版之後,它的內部架構做了重大改變,不少其它意圖的檢測加了進來,如今Checkstyle能夠檢查像類設計的問題,重複代碼,如鎖的雙重檢查的bug模式。
  • 3)CheckStyle的主要流程是:
    • 1)對Java文件進行詞法語法分析,生成語法樹。
    • 2)載入配置文件(checkstyle-metadata.xml以及自定義的配置文件)register check事件。
    • 3)按照深度優先遍歷對語法樹進行解析,按照註冊的事件,在到達某些節點( AST ) 時進行style檢查(AST,A child-Sibling Tree,是語法樹中的某個節點,其類型在TokenTypes類中定義。)
    • 4)咱們所說的自定義Style的檢查,就是在第二步設定的。這裏牽涉到一個叫com.puppycrawl.tools.checkstyle.api.Check 的類,咱們一般須要重載其中的兩個函數: public int[] getDefaultTokens()和public void visitToken(DetailAST ast). 這兩個函數的含義爲,在遍歷語法樹的過程當中,每當到達getDefaultTokens函數所返回的AST類型,程序就進入visitToken進行具體的檢查和分析,即,真正的分析檢查過程是在visitToken中實現的。

Hammurapiapi

  • 1)定義: Hammurapi它是一個開源的代碼審查/評審(review)工具。它能夠幫助改進Java代碼的質量。它能夠基於一套設計規範來分析代碼庫。當它碰到違反規範的地方,會在報告中標識。就像Checkstyle同樣,它與Ant無縫集成而且由基於XML配置文件來驅動。
  • 2)特色:
    • 1)Hammurapi是用來強制代碼設計規範的。
    • 2)Hammurapi是一個遵循設計的工具,提供了自動並且一致的方式來實現設計規範,所以使代碼評審更加有效而輕鬆。
    • 3)Hammurapi如何工做:Hammurapi這樣的代碼分析工具都帶有語言分析器。語言分析器是一種輸入語言代碼並輸出抽象語法樹的工具。這個樹上的節點表明語言標識。例如,考慮一下簡單的算術表達式:3+4. 語言分析器會解析他成爲一個如圖5所示的語法樹。在這個樹中,節點+表明操做符標識。節點3和4是操做數標識Hammurapi使用ANTLR(另外一個語言識別工具)做爲語言分析器。然而ANTLR API是至關底層的。爲改善可用性,Hammurapi使用另外一個API,基於ANTLR 的JSEL(Java源程序工程類庫),來訪問抽象語法樹。 一旦樹構建完成,一種樹遍歷算法就被用來訪問樹中每個節點。每次訪問到一個節點,一種回調機制(Visitor模式)被用來提示相應的檢查器。在這些回調方法中,檢查器收集相關的信息來肯定是否有違反規範的地方存在。  

Lint4j安全

  • 1)定義:Lint4J是一個針對Java的源代碼分析工具,它能夠對Java源碼和字節碼進行靜態分析,判斷其中是否存在死鎖、性能問題或者伸縮性問題。它能夠集成到任何IDE種或構建系統
  • 2)特色:
    • 1)檢測代碼語法規則
    • 2)潛在的bug
    • 3)檢測編碼模式對代碼可讀性及大小的影響
    • 4)檢測是否違反EJB規範

Sonar架構

  • 1)定義:代碼質量管理工具Sonar提供了設計與架構度量。Sonar 2.0引入了針對Java應用的設計分析、架構與面向對象的度量,Sonar 2.1能夠檢測到未使用的方法以及對不建議使用方法的調用。是一個集成了CheckStyle,PMD,Findbugs的代碼校驗規則 ,重複代碼發現,代碼測試覆蓋率, 代碼註釋率,及全部的檢測率變化追蹤的完美代碼質量檢查工具。它包含了代碼質量檢測的七個方面
  • 2)特色:
    • 1)代碼覆蓋:經過單元測試,將會顯示哪行代碼被選中。
    • 2)改善編碼規則。
    • 3)搜尋編碼規則:按照名字,插件,激活級別和類別進行查詢。
    • 4)項目搜尋:按照項目的名字進行查詢。
    • 5)對比數據:比較同一張表中的任何測量的趨勢。
    • 6)單元測試
  • 3)Sonar2.1:
    • Sonar還基於Squid引入了一個全新的規則引擎、Sonar解析器既能夠處理源代碼,也能夠處理字節碼,解析器帶有內建的規則,能夠檢測未使用的私有與保護方法以及客戶端對不建議使用的方法的調用。Squid經過分析應用源代碼、Java API和外部程序庫的字節碼來決定哪些方法、類和屬性是不建議使用的。
  • Sonar 2.1的新特性:
    • 1)一個全新的「Libraries」頁面,顯示了項目中全部的程序庫和依賴,該特性要求使用Maven來構建項目。一旦在Sonar站點的主頁上選擇了一個項目,該服務就會以可視化的樹形結構展現出項目依賴。此外,還有一個可選的動態過濾器,能夠根據名稱過濾程序庫以便在應用的依賴間導航。
    • 2)用於搜索程序庫使用狀況的「Dependencies」頁面。好比說,能夠搜索到使用了第三方框架如Commons Logging 1.1的全部項目。
    • 3)可使用各類插件擴展Sonar的功能。如今有一個全新的「System Info」頁面顯示了系統屬性、已裝插件和Java虛擬機內存統計信息。該頁面還給出了關於Sonar配置和數據庫統計的詳細信息。
    • 4)一個用於管理已裝插件和系統信息的管理控制檯。最新版的Sonar爲這些插件引入了一個測試框架和一個客戶化的Maven生命週期管理工具。它還帶有一個用於集成項目事件的Web Service並在項目的size widget中增長了一個新的度量模塊。

JDepend框架

  • 1)JDepend一個開放源代碼的能夠用來評價Java程序質量的優秀工具,它遍歷Java class的文件目錄,以Java包(package)爲單位,爲每個包/類自動生成 包的依賴程度,穩定性,可靠度等的評價報告,根據這些報告,咱們能夠獲得包或類之間的依賴關係,並分析出包的穩定程度,抽象程度,是否存在循環依耐關係等 。能夠根據JDepend給出的報告數據,分析出咱們的包是不是可靠的,穩定的,健壯的包,是否符合面向對象的設計原則。
  • 2)特色:
    • 1)評價設計質量
    • 2)翻轉依賴性
    • 3)支持並行開發和極限編程
    • 4)獨立的發佈模塊
    • 5)識別package的循環依賴
  • 3)Depend生成的Java包的質量評價報告主要包括:
    • 1)Number of Classes and Interfaces:實現類與抽象接口的數目
    • 2)Abstractness (A):包的抽象度。指一個包內包含的抽象類或接口占整個包中的類的比重。
    • 3)Afferent Couplings (Ca):向心耦合。依賴該包(包含的類)的外部包(類)的數目(i.e. incoming dependencies),該數值越大,說明該包的擔當的職責越大,也就越穩定。
    • 4)Efferent Couplings (Ce):離心耦合。被該包依賴的外部包的數目(i.e. outgoing dependencies),該數值越大, 說明該包越不獨立(由於依賴了別的包),也越不穩定。
    • 5)Instability (I):衡量一個包的不穩定程度。I=Ce/(Ce+Ca)。它的值處於[0,1]之間。I=0時說明包是最穩定的,反之I=1則說明包極不穩定。
    • 6)Distance from the Main Sequence (D): 該指標主要用來評價包的抽象程度與穩定程度的平衡關係,它能夠用二維直線圖 A + I = 1 來表示。
    • 7)Package Dependency Cycles:包的循環依賴度。

IBM Checking Tool for Bugs Errors and Mistakes(簡稱BEAM)

  • 1) 定義:是 IBM 開發的一個靜態分析工具,能夠用於分析並查找出 C, C++ 和 Java代碼中的一些不容易發現的潛在錯誤,從而達到提升代碼質量的目的。同動態分析工具和其它靜態分析工具相比,它擁有一些難得的特性。
  • 2)特色:
    • 1)對代碼進行語法掃描,經過算法對代碼進行檢查分析
    • 2)和一些 bug 模式進行比較,最終標明問題區域,輸出分析結果
    • 3)使用了額外的定理證實(theorem proving)技術來判斷一個潛在的錯誤是不是真正的錯誤,從而減輕了程序員判斷錯誤真僞所需的工做量

LDRA Testbed

  • 1)定義:LDRA Testbed爲應用軟件的確認和驗證提供強大的源代碼測試和分析功能,是獨特的質量控制工具。 它有助於提升計算機軟件必需的可靠性,健壯性和儘量的零缺陷,它的使用帶來時間、成本和效率上真實的節省,這些都是沒法衡量其價值的。它是強大和完整的集成工具包,使先進的軟件分析技術應用在開發生命週期的關鍵階段。
  • 2)LDRA Testbed提供強大的分析功能,用於兩個主要的測試領域,靜態分析和動態分析。
    • 1)靜態分析: 分析代碼,而且提供對代碼結構的理解。
    • 2)動態分析: 利用源代碼的插裝版本,使用測試數據執行,在運行時發現軟件缺陷
  • 3) 使用LDRA testbed 的好處軟件開發和測試過程的成本效率分析工具單元、集成和系統測試的理想工具貫穿於軟件開發的整個生命週期LDRA Testbed應用於許多不一樣的領域過程改進軟件測試軟件維護
  • LDRA Testbed的優勢:
    • 改進軟件質量
    • 定位軟件缺陷
    • 強制執行工業標準
    • 減小維護費用40%以上
    • 減小開發和測試成本75%以上
    • 經過自動化過程提升員工動力

Yasca

  • 1) 定義:Yasca是一個開源靜態代碼分析工具插件框架, 集成流行的多語言靜態分析工具如findbugs/pmd/jlint/rats/cppcheck,因爲插件自己多樣故可支持java c++等語言靜態分析.Yasca是一個用來尋找安全漏洞,在程序的源代碼中檢測代碼質量、性能以及一致性的軟件。它集成了其餘開源項目,其中包括FindBugs PMD ,JLint , Cppcheck ,並掃描某些文件類型,以及自定義掃描書面的Yasca 這是一個命令行工具,與報告中生成的HTML , CSV格式, XML,SQLite ,和其餘格式。

 

參考:

http://tianya23.blog.51cto.com/1081650/415146(以上內容轉自此篇文章)

相關文章
相關標籤/搜索