finbugs简介、安装及使用总结

  • FindBugs简介
  • 为什么使用静态分析工具
  • FindBugs的使用
  • FindBugs常见的两种使用时机
    • (1)开发阶段
    • (2)维护阶段
  • FindBugs的局限性
  • 为什么应该将 FindBugs 集成到编译过程中?
  • 生成有意义的结果
  • 确定用 FindBugs 的结果做什么
  • Eclipse安装FindBugs插件
  • IDEA安装FindBugs插件
  • FindBugs使用总结
  • 总结

本文总结参考资料:https://baike.baidu.com/item/FindBugs/4111190
TODO项:FindBugs使用总结


FindBugs简介

(1)finbugs:java代码静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。

(2)FindBugs不注重样式或者格式,它试图只寻找真正的缺陷或者潜在的性能问题。

为什么使用静态分析工具

(1)有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。

(2)检测完毕可生成一份详细的报告,藉由这份报告,可以发现许多代码中间潜在的bug。

(3)比较典型的,如引用了空指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的(classic) bug后,可以确信的是,我们的系统稳定度将会上一个新的台阶。


FindBugs的使用

在FindBugs的GUI中,需要先选择待扫描的.class文件(FindBugs其实就是对编译后的class进行扫描,藉以发现一些隐藏的bug。)。如果你拥有这些.class档对应的源文件,可把这些.java文件再选上,这样便可以从稍后得出的报告中快捷的定位到出问题的代码上面。此外,还可以选上工程所使用的library,这样似乎可以帮助FindBugs做一些高阶的检查,藉以发现一些更深层的bug。

FindBugs常见的两种使用时机

(1)开发阶段

当Developer完成了某一部分功能模块开发的时候(这通常是指代码撰写完成,并已debug通过之后),可藉由FindBugs对该模块涉及的java文件进行一次扫描,以发现一些不易察觉的bug或是效能问题。交付新版的时候,开发团队可以跑一下FindBugs,除掉一些隐藏的Bug。FindBugs得出的报告可以作为该版本的一个参考文档一并交付给测试团队留档待查。

在开发阶段使用FindBugs,一方面开发人员可以对新版的品质更有信心,另一方面,测试人员藉此可以把更多的精力放在业务逻辑的确认上面,而不是花大量精力去进一些要在特殊状况下才可能出现的BUG(典型的如Null Pointer Dereference)。从而可以提高测试的效率。

(2)维护阶段

这里指的是系统已经上线,却发现因为代码中的某一个bug导致系统崩溃。在除掉这个已暴露的bug之后,为了快速的找出类似的但还未暴露的 bug,可以使用FindBugs对该版的代码进行扫描。当然,在维护阶段使用FindBugs往往是无奈之举,且时间紧迫。此外,如果本来在新版交付的时候就使用过FindBugs的话,往往意味着这种bug是FindBugs还无法检测出的。这也是FindBugs局限的地方。

FindBugs出到目前的版本,功能已经相当强大,不过也有待完善的地方。从实际使用来看,有一些隐藏的bug并不能靠FindBugs直接发现。

那么,可不可以撰写一个新的 Detector,来发现这种将一个未初始化的reference传来传去而形成的潜在的bug呢?理论上来讲,应该是可以的。这个 Detector目前还未实现。哪位如果有兴趣的话,可以参考FindBugs, Part 2: Writing custom detectors(扩展阅读)这篇文章,帮忙实现这个Detector。实现一个新的Detector,便可以检测出一种新型的bug,这样不知又可以帮开发人员省去多少人工检查的时间,功德无量啊。


FindBugs的局限性

FindBugs也不能发现非java的Bug。

对于非java撰写的代码,如javascript,SQL等等,要找出其中可能的bug,FindBugs是无能为力的。

当然,javascript中的bug似乎还不至于使系统崩溃,而SQL中的bug往往又跟业务逻辑相关,只要测试仔细一些应该是可以发现的。

为什么应该将 FindBugs 集成到编译过程中?

经常问到的第一个问题是为什么要将 FindBugs 加入到编译过程中?

虽然有大量理由,最明显的回答是要保证尽可能早地在进行编译时发现问题。

当团队扩大,并且不可避免地在项目中加入更多新开发人员时,FindBugs 可以作为一个安全网,检测出已经识别的缺陷模式。

我想重申在一篇 FindBugs 论文中表述的一些观点。如果让一定数量的开发人员共同工作,那么在代码中就会出现缺陷。像 FindBugs 这样的工具当然不会找出所有的缺陷,但是它们会帮助找出其中的部分。现在找出部分比客户在以后找到它们要好——特别是当将 FindBugs 结合到编译过程中的成本是如此低时。

一旦确定了加入哪些过滤器和类,运行 FindBugs 就没什么成本了,而带来的好处就是它会检测出新缺陷。如果编写特定于应用程序的检测器,则这个好处可能更大。

生成有意义的结果

重要的是要认识到这种成本/效益分析只有在不生成大量误检时才有效。换句话说,如果在每次编译时,不能简单地确定是否引入了新的缺陷,那么这个工具的价值就会被抵消。

分析越自动化越好。如果修复缺陷意味着必须吃力地分析检测出的大量不相干的缺陷,那么您就不会经常使用它,或者至少不会很好地使用它。

确定不关心哪些问题并从编译中排除它们。也可以挑出;
确实关注的一小部分检测器并只运行它们。另一种选择是从个别的类中排除一组检测器,但是其他的类不排除。FindBugs 提供了使用过滤器的极大灵活性,这可帮助生成对团队有意义的结果。

确定用 FindBugs 的结果做什么

可能看来很显然,但是您想不到我参与的团队中有多少加入了类似 FindBugs 这样的工具而没有真正利用它。让我们更深入地探讨这个问题——用结果做什么?明确回答这个问题是困难的,因为这与团队的组织方式、如何处理代码所有权问题等有很大关系。

不过,下面是一些指导:

可以考虑将 FindBugs 结果加入到源代码管理(SCM)系统中。一般的经验做法是不将编译工件(artifact)放到 SCM 系统中。不过,在这种特定情况下,打破这个规则可能是正确的,因为它使您可以监视代码质量随时间的变化。

可以选择将 XML 结果转换为可以发送到团队的网站上的 HTML 报告。

转换可以用 XSL 样式表或者脚本实现。有关例子请查看 FindBugs 网站或者邮件列表。

Eclipse安装FindBugs插件

1.点击Eclipse “Help->InstallNew Software” 的Install New Software;

2.点击“Add”,然后在弹出框“Name”输入“findBugs”,“Location”输入“http://findbugs.cs.umd.edu/eclipse”,
点击“OK”

3.选择对应插件,然后点击“next->next->finish”;

finbugs简介、安装及使用总结_第1张图片
a.jpeg

4.完成安装之后重启eclipse,右击项目文件或目录,会发现多了Findbugs的菜单,如下图:
finbugs简介、安装及使用总结_第2张图片
b.jpeg

IDEA安装FindBugs插件

1.在IDEA->File->Setting->Plugins搜索框中输入findbugs进行下载安装;

2.重启IDEA;

3.检查IDEA是否成功安装FindBugs, IDEA是否会出现findbugs的图标,如下图:

finbugs简介、安装及使用总结_第3张图片
无标题.png

FindBugs使用总结

TODO

总结

FindBugs不过是一个工具。作为开发人员,当然首先要在编程的时候努力避免引入bug,而不要依赖于某个工具来为自己把关。不过由于代码的复杂性,一些隐藏的bug确实很难靠咱们的肉眼发现。这时,应用一些好的工具或许就可以帮你发现这样的bug。这便是FingBug存在的价值。



你可能感兴趣的:(finbugs简介、安装及使用总结)