clang自定义静态代码检查库

前言

通过分析源码自动查找bug,我们将之称为静态检查(static analyzer).静态库致力于提供用于分析C,C++,Objective-C的高质量的静态分析框架.检查库是完全开源的,我们可以在上面提供的链接里,下载最新的检查库.
我们可以制定使用特定的检查库,也可以使用XCode自带的检查库,如何实现对检查库的配置和自定义,就是这篇文章要讲的内容.

使用场景

static analyzer的实质是提供了一个fake compiler,在真正的compile完成之后,进行analyzer.具体说明在scan-build内.
static analyzer的输出是对bug检测的一个结果,这些bug是在compile完成之后进行的.我们可以通过持续集成,将结果输出到sonar上,进行一个bug的定级,和一些bad smell的检查.

运行自定义的检查库

配置环境

下载

  • 下载最新的分析库,点击链接,下载最新即可.
  • 解压: 双击解压.或者通过指令tar -jxvf

安装命令行工具
下载checker解压后,现将checker-xxx文件夹保存到本地路径下,便于下面的命令工具安装,避免误删.

  1. 保存文件夹: 通过Finder--前往文件夹--/usr/local/bin,将checker-xxx移动到文件夹下.

  2. 安装命令行工具: checker-xxx文件中包含两个工具scan-buildscan-view,它们在checker
    通过下载的checker安装

$ sudo nano /etc/paths

在终端进入了文件的编辑界面,展示如下

/usr/local/bin
/usr/bin
/bin
/usr/sbin
/sbin

添加下载的checker-xxxscan-buildscan-view对应的文件夹

/usr/local/bin
/usr/bin
/bin
/usr/sbin
/sbin
/usr/local/checker-279

通过^X退出编辑

通过$ echo $PATH查看结果.

仅安装scan-build(不推荐,只做了解)

  1. 安装pip,用于安装scan-build
    sudo easy_install pip

  2. 安装scan-build
    pip install scan-build
    如果出现Permission denied: '/Library/Python/2.7/***'的报错,执行下面代码
    sudo chown -R $USER /Library/Python/2.7
    然后再执行
    pip install scan-build

使用最新的检查库

Clang开源的代码检查库更新比较频繁,会有更多的bug提示和代码检查.所以使用最新的检查库,可以带来更全面的检查,以提高代码质量和健壮性.
静态检查时,其实是提供了一个"假的"编译器,在编译完成后,会对

  • 下载Clang提供的静态库
    在链接地址下载最新的checker-xxx.tar.bz2
  • 解压
    双击解压,解压出来的文件夹名字为checker-xxx
  • 使用当前的checker作为检查规范
    下载的checker内包含set-xcode-analyzer命令行工具,进入checker-xxx文件夹下,cd /bin,执行以下指令,在这之前,记得退出XCode
sudo ./set-xcode-analyzer --use-checker-build=/usr/local/checker-xxx

以上指令就是使用我们下载的检查器进行代码检查了.

  • 使用XCode自带的静态检查
    如果想恢复到系统自带的静态检查,进入对应文件夹下,执行
sudo ./set-xcode-analyzer --use-xcode-clang

静态检查工具讲解

checker-xxx文件夹中,我们只需要关注两个文件

  • scan-build: 运行分析器的高级命令行工具
  • scan-view: 查看scan-build生成的分析结果.

scan-build

scan-build是用来运行静态分析的命令行工具.在项目build时,源文件会被编译,并且会进行静态分析.build完成后,结果会以网页浏览器的形式展示给开发者.
scan-build的用法是在xcodebuild命令前加上scan-build即可.以下有需要注意的几点:

  • 在debug模式下运行
    因为大多数项目允许在debug模式下使用断言,断言对于静态检查很有作用,可以减少错误检查的几率,可以通过在scan-build后添加--force-analyze-debug-code来制定模式,当然也可以通过xcodebuild -configuration Debug来实现.
  • 通过verbose查看详情
  • 在模拟器下运行
scan-build xcodebuild -configuration Debug -sdk iphonesimulator10.1

扩展:如果本地有多个编译器,可以通过指令来制定编译器:scan-build --use-cc scan-build --use-c++
运行完成之后,会输出通过scan-view查看的指示,在scan-view后跟着一个文件夹,文件夹内部都是.html文件,可以通过scan-view 来查看,也可以直接双击打开.

静态检查知识补充

使用静态分析库有几个注意点:

  1. 持续更新,不断优化
    代码检查库一直计划提升代码检查的精确度和范围,优化查找bug的方式,对于静态代码检查有一些基本的限制,可优化的空间还有很大.

  2. 比编译耗时
    使用静态代码检查自动查找程序bug其实是使用CPU时间来换更高的代码质量.静态分析要比编译耗时.
    即使Clang在速度和轻量级上尽可能进行了优化,但是也不要期待会比项目编译更快.一些用于查找bug的代码最差时需要指数级的时间消耗.

  3. 检测失误
    静态检测并不是完美的,可能正确的代码也会出现一些错误的bug提示,因为不同代码需要的检查精度不同,我不同的检查规则中,可能会出现不同频率的检测失误,Clang一直在尽力减少这种失误,但目前并没有完全避免.

  4. 并未100%覆盖全部bug
    静态检查只是找到了那写常见的特定bug,但是对于某些bug还未覆盖.

相关链接

运行自定义静态检查

Clang static analysis

scan-build

static analyzer installation

Use clang-tidy for static analysis and integration in Sonarqube

Clang Static Analyzer

Creating and using Clang plugin with Xcode

你可能感兴趣的:(clang自定义静态代码检查库)