使用findbugs静态代码分析工具检查Android Java代码
使用findbugs静态代码分析工具检查Android Java代码
1.背景
在 android 开发中,我们可以使用 findbugs 工具来检查我们的java代码。
介绍
FindBug是一款开源的Java代码检查工具,遵循GNU公共许可协议。它可以检查Java类或者JAR文件,运行的是Java字节码而不是源码,检查原理是:将字节码与一组缺陷模式进行对比来发现可能存在的问题,这些问题包括空指针引用、无限递归循环、死锁等。检查的bug类型包括:
- Bad practice 坏的实践:常见代码错误,序列化错误,用于静态代码检查时进行缺陷模式匹配;
- Correctness 可能导致错误的代码,如空指针引用等;
- 国际化相关问题:如错误的字符串转换;
- 可能受到的恶意攻击,如访问权限修饰符的定义等;
- 多线程的正确性:如多线程编程时常见的同步,线程调度问题;
- 运行时性能问题:如由变量定义,方法调用导致的代码低效问题。
findbugs 官网:http://findbugs.sourceforge.net/
命令行方式的demo地址: https://github.com/vir56k/demo/tree/master/findbus/%E5%91%BD%E4%BB%A4%E8%A1%8C%E6%96%B9%E5%BC%8Ffindbugs
Gradle方式findbugs 的Demo地址: https://github.com/vir56k/demo/tree/master/findbus/gradle%E6%96%B9%E5%BC%8Ffindbugs/FindbusGradle
2.使用 命令行方式
下载findbugs
下载地址: http://findbugs.sourceforge.net/downloads.html 下载后是个压缩包,解压
查看使用手册
http://findbugs.sourceforge.net/manual/index.html
执行检查:
findbugs -textui -exclude myExcludeFilter.xml myApp.jar参数说明: findbugs 是执行文件名,位于./bin 目录下 -textui 说明通过 无界面的方式运行 -exclude 和紧随其后的是要排除的检查的描述文件 myApp.jar 是要检查的jar 文件。android 要检查的目标位于 app/build/intermediates/javac 文件夹下
注意:在检查前要先编译
我的脚本
# 准备环境信息
CUR=`PWD`
echo 当前工作目录:${CUR}
basepath=$(cd `dirname $0`; pwd)
echo 当前执行的脚本文件的父目录:${basepath}
FINDBUGS_HOME=$basepath/findbugs-3.0.1
# 项目目录
PROJ_DIR=$(cd ${basepath}; cd ../../; pwd)
echo PROJ_DIR:${PROJ_DIR}
# Usage: findbugs [general options] -textui [command line options...] [jar/zip/class files, directories...]
${FINDBUGS_HOME}/bin/findbugs -textui -exclude exclude.xml ${PROJ_DIR}/app/build/intermediates/javac3.使用 命令行方式
gradle 提供了插件支持 findbugs
引入插件
apply plugin: 'findbugs'写一个 task
task findbugs(type: FindBugs, dependsOn: "assembleDebug") {
ignoreFailures = true
effort = "max"
reportLevel = "high" //low,medium,high
// reportLevel = "low"
excludeFilter = new File("$configDir/findbugs/findbugs-filter.xml")
classes = files("${project.rootDir}/app/build/intermediates/javac")
source 'src'
include '**/*.java'
exclude '**/gen/**'
reports {
xml.enabled = false
html.enabled = true
xml {
destination "$reportsDir/findbugs/findbugs.xml"
}
html {
destination "$reportsDir/findbugs/findbugs.html"
}
}
classpath = files()
}关联到 check 任务
check.dependsOn 'findbugs'执行 findbugs
在命令行中执行:
./gradlew check获得检测报告
在 你的android 项目中的路径: /app/build/reports/findbugs 找到 findbugs.html ,这就是报告内容
报告截图
image.png