静态代码扫描(六)——火线针对资源关闭问题的横向对比报告

最新推荐文章于 2025-06-16 14:28:43 发布
原创 最新推荐文章于 2025-06-16 14:28:43 发布 · 912 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文对比了火线与其他知名静态代码扫描工具在资源关闭问题上的表现,包括PMD, Findbugs, Sonar和Infer。分析结果显示,尽管各工具各有优势,但在资源关闭的复杂场景下,均存在不足。火线作为后起之秀,致力于解决这一痛点并持续改进。" 108086486,7872847,正则表达式:匹配分组实战解析,"['正则表达式', '字符串处理', '编程技术']

在上一篇文章中,我们列举了一些资源关闭需要考虑的特殊场景,并且预告了会在这篇放出火线和其他开源产品横向的扫描结果对比报告,包括Sonar、Infer、PMD和Findbugs(由于Lint没有针对资源关闭的规则,未加入对比)。

一. 对比结果

我们将资源关闭场景进行了细化和拆分,以保证代码扫描过程中既能检测出已有的问题,同时也不会对正确的写法产生误报。目前共计30个场景。
废话不多说,先上结果:

这里写图片描述

二. 结果分析

  1. PMD
    对比报告中使用的PMD版本为目前最新版本PMD5.6.1。
    PMD是业界老牌的开源静态代码扫描产品,于2002年发布了第一个版本,至今已有15年的积淀。它的优点是支持多种语言的静态扫描,同时由于其将源代码转化为抽象语法树进行分析的引擎特点,扫描速度快。但是也是由于引擎的特点,限制了它应对更加深入的检查需求,目前还难以满足。
    所以大家可以看到上面的结果中,PMD针对很多问题都无法成功检出。

  2. Findbugs
    对比报告中使用的Findbugs版本为目前最新版本Findbugs3.0.1。
    Findbugs也是业界老牌的开源静态代码扫描产品,同时也应该是知名度较高的一款产品。我从官网上只能追踪到最早2004年的BUG反馈,说明Findbugs的积淀和PMD不相上下。Findbugs只支持Java代码扫描,但是它的引擎技术是解析源码编译后的class文件,专业术语为控制流图和数据流分析技术。所以它能做的事情相比较PMD而言深度上更胜一筹。

最低0.47元/天 解锁文章
静态代码扫描服务
优快云
12-30 6003
已支持(Java & JavaScript & Python & C & C++),实现:贪心思维
【100分】【静态扫描
weixin_54707168的博客
02-13 429
给定静态扫描的相关成本信息,包括文件扫描成本和报告缓存成本。需要确定采用合理的缓存策略后,最少需要的金币数。给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币。3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果。2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币。要求计算在合理的缓存策略下,最少需要的金币数。采用合理的缓存策略,需要的最少金币数。输出最少需要的金币数。
静态代码扫描工具TscanCode.zip
07-18
TscanCode是一款静态代码扫描工具,TscanCode旨在助力开发与测试人员从代码层面挖掘问题,将那些长期困扰项目的诸如空指针宕机等问题,扼杀于萌芽阶段。支持用户根据不同需求自定义配置检查项,有极强的扩展性和可维护性。平均扫描速度10W行/分钟。TscanCode支持以下类型规则扫描:应用特性空指针检查,包含可疑的空指针,判空后解引用比如Crash等共3类subid检查数据越界,Sprintf_S越界共1类subid检查内存泄漏,分配和释放不匹配同1类subid检查逻辑错误,重复的代码分支,bool类型和INT进行比较,表达式永远True或者false等共18类检查可疑代码检查,if判断中含有可疑的=号,自由变量返回局部变量等共计15类检查运算错误,判断无符号数小于0,对bool类型进行 自增等,共计11类检查 标签:TscanCode
静态代码扫描环境搭建(mac)
qq_33687006的博客
09-19 2101
静态代码扫描环境搭建
静态代码扫描
陈高爽的博客
04-28 8146
静态代码分析(Static program analysis):在不运行程序的条件下,进行程序分析。 编译流程差不多分为这5个阶段: 词法分析生成token流语法分析生成抽象语法树针对抽象语法树进行语义分析,构建内部数据结构,如控制流图、生成中间代码代码优化目标代码生成 静态代码扫描通常分为两种: 模式匹配:匹配代码编译过程中的token流、抽象语法树(
一款代码扫描工具 火线!!!! fireline
weixin_30446613的博客
05-30 395
1. 在火线官网进行火线相关文件的下载,下载后的文件为fireline.jar 2、运行fireline.jar文件前请先确认系统环境中已安装Java JDK。 java-version 查看 3、在命令行中输入以下命令,点击确定 java -jar D:\test\fireline.jar -s=F:\work_space\seleniumcn-master -r=E:\Redlin...
工业炉温控制优化实录:自整定算法效果评估与性能对比数据
# 1. 工业炉温控制的背景与挑战 在冶金、陶瓷、半导体等高温制造领域,工业炉作为核心热处理设备,其温度控制精度直接影响产品质量与生产效率。传统依赖人工经验的PID参数整定方式难以应对炉体大惯性、非线性及工况...
PCB布局隐藏陷阱揭晓:寄生参数抑制与接地优化提升滤波性能
!...# 1. PCB布局中的寄生参数与接地问题概述 在高频、高速电路设计中,PCB布局不再仅仅是...而接地系统作为参考电位的基石,若设计不当,将引发回流路径混乱、共模噪声耦合等严重问题。尤其在混合信号系统中,模拟地与
“鬼影”现象真相曝光:调光器待机功耗与泄放电流的4种博弈模式
“鬼影”现象,即LED灯具在关闭状态下出现微亮、闪烁或间歇性点亮,本质是**关断回路中存在微小持续电流**(泄放电流)所致。该电流虽不足以驱动灯具正常发光,但可使LED芯片局部导通,产生可见光晕。其根源涉及调光...
ADC采样跳动大?揭秘模拟输入端电磁干扰的6条耦合路径与滤波方案
![ADC采样跳动大?...# 1. ADC采样跳动现象的本质与工程挑战 在高精度数据采集系统中,ADC采样值的非预期跳动(Code Transition Noise)常被视为“随机噪声”,实则多源于外部电磁干扰通过...此类问题在工业、医疗和汽
代码质量优化之静态代码扫描
linchuanzhi_886的专栏
04-20 2578
质量是保证产品和服务满足顾客需求的关键,真正的好产品,是能以用户为中心,和用户做朋友的。作为开发人员,除了保证产品基础功能正常外,还要保证高标准的代码质量。代码质量可以从代码的严谨性、可读性、可维护性、健壮性、性能和效率、代码覆盖度、易测性、可移植性几个方面的评价。严谨性:指的是逻辑严谨,代码逻辑要符合运行预期。在这一环节,要避免内存泄漏、句柄泄漏、使用恰到的同步\异步机制等。好的代码质量,在某段代码指令执行后,会产生什么样的动作、内存功耗占用多少都是要符合预期的。
持续集成(CICD)-- sonar代码审查(静态扫描
qq_45004869的博客
03-12 2036
sonar-scanner.bat/sonar-scanner.sh的绝对路径> -D"sonar.projectKey=<扫描项目名(自定义)>" -D"sonar.host.url=<Sonar的服务地址>" -D"sonar.login=<Sonar的服务用户名>" -D"sonar.password=<Sonar的服务密码>":进入到【开发项目】—>构建—>Execute SonarQube Scanner 【注意构建的顺序:比如部署构建的代码要在扫描之后】下载完成之后是一个压缩文件,解压之后;
sonarlint插件安装 & sonarqube配置时遇到的问题
Sapphire的博客
03-30 995
SonarLint 是一个免费的开源IDE 扩展,可识别在编写代码时解决质量和安全问题。像拼写检查器一样,SonarLint 会显示缺陷并提供实时反馈和清晰的修复指导,点击左上角file(文件)->setting(设置)->Plugins(插件)和已安装的sonarqube建立连接方可使用成功后下方会出现图标。
【嵌入式】嵌入式系统稳定性建设:静态代码扫描的介绍、工具(Cppcheck、PCLint、Coverity)介绍和cppcheck最佳实践技巧
热门推荐
科技改变人类,技术成就未来
03-08 1万+
【嵌入式】嵌入式系统稳定性建设:静态代码扫描的介绍、工具(Cppcheck、PCLint、Coverity)介绍和cppcheck最佳实践技巧。在嵌入式系统开发过程中,代码的稳定性和可靠性至关重要。静态代码扫描工具作为一种自动化的代码质量检查手段,能够帮助开发者在编译前发现潜在的缺陷和错误,从而增强系统的稳定性。本文将介绍如何在嵌入式C/C++开发中使用静态代码扫描工具,并通过示例代码展示其应用效果。
静态代码深度扫描详解
zxy98的专栏
04-15 1490
静态代码深度扫描是一种通过分析源代码结构、语法、语义及潜在逻辑,在不运行程序的情况下全面检测代码缺陷、安全漏洞和质量问题的技术。它通过结合等高级技术,实现对代码的深度理解,帮助开发团队在早期发现并修复问题,显著降低后期维护成本。
Tscancode静态代码扫描工具实战指南
最新发布
weixin_36047538的博客
06-16 2043
静态代码扫描是一种在不执行代码的情况下,通过分析源代码或二进制文件来查找程序错误、漏洞和不符合编码规范的技术。这项技术是现代软件开发中不可或缺的一环,有助于提前识别问题,从而减少后期修复的成本和复杂性。Tscancode 是一个先进的静态代码扫描工具,它通过分析源代码而不实际执行它来检测软件中的缺陷、代码异味、安全漏洞和遵循编码标准的程度。它能够自动检测包括不安全的代码实践、逻辑错误、死代码、未使用的变量和复杂度过高的函数等问题
基于sonar 的C#静态代码扫描使用总结
lw的博客
09-04 2273
C#语言接入Sonar代码静态扫描相较于Java、Python来说,相对麻烦一些。Sonar检测C#代码时需要预先编译,而且C#代码必须用MSbuid进行编译,如果需要使用SonarQube对C#进行代码质量分析,则需要Sonar-Scanner-MSBuild和MSBuild,其中要求MSBuild在V14.0以上。
对某地铁app的一次静态扫描报告分析
SourceBrella的博客
01-19 388
本次分析从华为应用中心(app-store)下载的某地铁app 分析工具使用了源伞科技Pinpoint 扫描结果 共计找到122个致命问题, 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误,277个安全隐私类问题以及897个执行效率低下问题。 现举例如下: 安全隐私高危漏洞: 漏洞 路径注入–该漏洞可以使得恶意攻击者覆盖任意文件 ...
代码质量】静态代码检测pc-lint, visual lint, cpp-check(pclint、cppcheck、TscanCode)
我的笔记本
08-20 9758
引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。 如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 主流静态代码扫描工具概况 腾讯TSC团队自主研发的tscancode工具、cppcheck、coverity、clang、pclint 费用和活跃....
精选软件安全测试用例样例:渗透扫描静态代码分析
静态代码扫描是一种在不运行程序代码的情况下,通过分析源代码来查找代码中潜在的漏洞和不安全的编码实践的技术。这种方法能够在软件开发生命周期的早期发现安全问题。在“软件安全测试·静态代码扫描测试用例(样例...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值