使用findbugs静态代码分析工具检查Android Java代码

1.背景

在 android 开发中,我们可以使用 findbugs 工具来检查我们的java代码。

介绍

FindBug是一款开源的Java代码检查工具,遵循GNU公共许可协议。它可以检查Java类或者JAR文件,运行的是Java字节码而不是源码,检查原理是:将字节码与一组缺陷模式进行对比来发现可能存在的问题,这些问题包括空指针引用、无限递归循环、死锁等。检查的bug类型包括:

  • Bad practice 坏的实践:常见代码错误,序列化错误,用于静态代码检查时进行缺陷模式匹配;
  • Correctness 可能导致错误的代码,如空指针引用等;
  • 国际化相关问题:如错误的字符串转换;
  • 可能受到的恶意攻击,如访问权限修饰符的定义等;
  • 多线程的正确性:如多线程编程时常见的同步,线程调度问题;
  • 运行时性能问题:如由变量定义,方法调用导致的代码低效问题。

findbugs 官网:http://findbugs.sourceforge.net/

命令行方式的demo地址:
https://github.com/vir56k/demo/tree/master/findbus/%E5%91%BD%E4%BB%A4%E8%A1%8C%E6%96%B9%E5%BC%8Ffindbugs

Gradle方式findbugs 的Demo地址:
https://github.com/vir56k/demo/tree/master/findbus/gradle%E6%96%B9%E5%BC%8Ffindbugs/FindbusGradle

2.使用 命令行方式

下载findbugs

下载地址: http://findbugs.sourceforge.net/downloads.html
下载后是个压缩包,解压

查看使用手册

http://findbugs.sourceforge.net/manual/index.html

执行检查:

findbugs -textui -exclude myExcludeFilter.xml myApp.jar

参数说明:
findbugs 是执行文件名,位于./bin 目录下
-textui 说明通过 无界面的方式运行
-exclude 和紧随其后的是要排除的检查的描述文件
myApp.jar 是要检查的jar 文件。android 要检查的目标位于 app/build/intermediates/javac 文件夹下

注意:在检查前要先编译

我的脚本

 # 准备环境信息
  CUR=`PWD`
  echo 当前工作目录:${CUR}
  basepath=$(cd `dirname $0`; pwd)
  echo 当前执行的脚本文件的父目录:${basepath}

  FINDBUGS_HOME=$basepath/findbugs-3.0.1


  # 项目目录
  PROJ_DIR=$(cd ${basepath}; cd ../../; pwd)
  echo PROJ_DIR:${PROJ_DIR}


  # Usage: findbugs [general options] -textui [command line options...] [jar/zip/class files, directories...]

  ${FINDBUGS_HOME}/bin/findbugs  -textui -exclude exclude.xml ${PROJ_DIR}/app/build/intermediates/javac

3.使用 命令行方式

gradle 提供了插件支持 findbugs

引入插件

apply plugin: 'findbugs'

写一个 task

  task findbugs(type: FindBugs, dependsOn: "assembleDebug") {
      ignoreFailures = true
      effort = "max"
      reportLevel = "high" //low,medium,high
  //    reportLevel = "low"
      excludeFilter = new File("$configDir/findbugs/findbugs-filter.xml")
      classes = files("${project.rootDir}/app/build/intermediates/javac")

      source 'src'
      include '**/*.java'
      exclude '**/gen/**'

      reports {
          xml.enabled = false
          html.enabled = true
          xml {
              destination "$reportsDir/findbugs/findbugs.xml"
          }
          html {
              destination "$reportsDir/findbugs/findbugs.html"
          }
      }

      classpath = files()
  }

关联到 check 任务

check.dependsOn 'findbugs'

执行 findbugs

在命令行中执行:

  ./gradlew check

获得检测报告

在 你的android 项目中的路径: /app/build/reports/findbugs
找到 findbugs.html ,这就是报告内容

报告截图

使用findbugs静态代码分析工具检查Android Java代码_第1张图片
image.png

4.参考

官网:http://findbugs.sourceforge.net/

你可能感兴趣的:(使用findbugs静态代码分析工具检查Android Java代码)