Java静态扫描工具

最新推荐文章于 2024-10-16 11:34:17 发布
最新推荐文章于 2024-10-16 11:34:17 发布 · 552 阅读 · 0
文章标签:

#Java #编程 #Eclipse #多线程 #工作

   今天Java静态扫描工具1.2.0终于发布了。
   Findbugs是一款JAVA代码静态分析器,能够在程序不运行的情况下扫描class文件。
扫描的过程中对被扫描的文件进行智能的分析,判断是否存在某些潜在的bug.如果
扫描发现跟预先定义的bug规则一致,那么就会报告bug.这些bug规则,来源于JAVA
开发经验的最优总结,包括网上流行的经验、《effective java》、
《重构,改善既有代码的结构》以及长期项目总结的经验等等。这些规则都是经过
实践积累的经验。
我们使用Findbugs静态代码分析器对10个JAVA项目的300多万行左右的代码进行了分析
了。总结出了最常出现的bug,同时对这些bug的原理进行了详细说明,深度剖析,陈述利弊,
并举相应的例子。这些bug主要从多线程、性能、不好的实践、正确性等方面进行了归类。
同时我们也针对我们项目自己的特点,开发了一定数量的我们自己的新规则,新规则采用
了参数的原则,更加灵活。在功能上更加完善了我们Bug检测体系。随着项目经验的积累,
还会有更多的规则加入到系统中。
资深开发人员的很重要的一个标志是精细化编程。要达到精细化,不单要编对程序,
而且要编写最优的程序。通过掌握我们这些bug的原理,可以从一定程度上达到最优编程。
该工具可以作为eclipse的插件使用,在日常编程中,使用我们的代码静态分析工具,能
够时刻提醒你哪些地方编写的还不是最优,提醒你怎样才能达到最优。编程,不再是枯燥
的,没有提高的事情;而是,充满了乐趣,每天都在工作中进步的过程。
  该版本对100多个bug的原理进行了详细的说明。深入分析每种bug,先讲解原理,然后举
例说明。这个版本耗时两个月,查阅了大量网络资料,以及业界流行的文献。在这一个月里
面,主要是每天晚上以及周末进行分析,因此很少时间陪家人。为此对我的家人表示深深的感
谢和深爱。
  大家有兴趣交流java静态分析技术的可以跟我交流。
如图:
1、查找bug:
[img]http://dl.iteye.com/upload/attachment/257671/096a1ed8-13b8-33d6-9535-a3b179738a49.jpg[/img]

2、Bug视图
[img]http://dl.iteye.com/upload/attachment/257667/8c132e0c-8694-3487-abc6-c4c575abe471.jpg[/img]

3、Bug属性视图
[img]http://dl.iteye.com/upload/attachment/257669/288fac23-db18-39a8-ae2b-7a6007730222.jpg[/img]
为OD机试 - 静态扫描Java)
u012657708的博客
08-08 152
给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币。3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果。2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币。第二行为文件标识序列:F1,F2,F3,....,Fn。第三行为文件大小序列:S1,S2,S3,....,Sn。第一行为缓存一个报告金币数M,L
静态代码扫描服务
优快云
12-30 6002
已支持(Java & JavaScript & Python & C & C++),实现:贪心思维
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
热门推荐
没刮胡子的程序员专栏
11-23 1万+
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
静态代码检查工具
08-15
静态代码检查工具,介绍了FindBugs,CheckStyle,PMD
java静态代码扫描工具_静态代码扫描工具 - (八)- 扫描Java项目
weixin_42299089的博客
02-13 901
1、准备好Java项目代码只要是java语言实现的项目均可。比如,自动化测试的代码,测试平台等均可以。本次案例,使用java语言实现的测试平台来做为扫描对象。2、了解java项目代码的结构。为什么要了解项目代码结构呢?1)区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。2)sonarQube主要是分析开发人员写的代码质量,对于外部的依赖库这些全部都可以忽略掉。经过与开发人员的沟...
java 静态扫描,开发JAVA白盒测试静态扫描器必备基础
weixin_36004568的博客
03-21 560
开发JAVA白盒测试静态扫描器必备基础JAVA白盒测试静态扫描器能够在代码不运行的情况下,扫描我们的java代码是否存在bug.我们能够在扫描工具嵌入到eclipse开发工具中,让开发实时的扫描,也能够在ant下批量后台的扫描。现在静态测试已经经过一定的时间了,已经深深的得到了开发的喜欢。更主要的原因是工具让他们即时的发现了代码的问题。同时也给我们开发更多的检查机制带来了更大的信心。JAVA白盒测...
测试开发 | 静态扫描体系集成
hDLsad的博客
12-27 257
FindBugs 是一个 Java 项目的静态代码扫描工具,它支持的项目类型包括 Maven,Grade,Ant等,可以在不运行程序的前提下对软件进行潜在 Bug 的分析,帮助团队在程序运行之前就最大程度发现隐藏较深的问题,提示的内容包含真正的权限和潜在可能发生的错误问题;可以把它与持续集成工具 Jenkins 进行集成,这样就能在代码提交后自动对提交的代码进行静态扫描,找出潜在的代码问题。
精选资源
常用Java静态代码分析工具的分析与比较
03-04
本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有4种主流Java静态代码分析工具(Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发...
Java静态检测工具的简单介绍
03-23
静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人...看了一系列的静态代码扫描或者叫静态代码分析工具后,总结对工具的看法:静态代码扫描工具,和编译器的某些功能其实是
四种常用的java代码扫描工具介绍
03-30
本文主要介绍了四种常用的 Java 代码扫描工具,并对它们的功能、特性等方面进行了分析和比较。这些工具分别是 Checkstyle、FindBugs、PMD 和 Jtest。静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的...
d盾,代码扫描工具,可以扫描文件 java代码 war包漏洞!
05-09
"d盾"是一款专为开发者设计的代码扫描工具,它能有效帮助检测和预防Java代码以及WAR包中的安全漏洞。这款工具的强大之处在于其对代码质量的严格把关,确保了应用程序在上线运行前能够得到全面的安全检查。 【描述】...
java代码静态检查工具
03-27
android studio中可以添加本工具,用于代码静态检查。
4 种主流 Java 静态代码分析工具
05-27
java静态代码分析工具包括Checkstyle,FindBugs,PMD,Jtest
Java静态代码扫描 - CheckStyle/FindBugs/PMD/JTest
unics17的博客
09-04 1333
参考文章(常用 Java 静态代码分析工具的分析与比较):http://www.oschina.net/question/129540_23043CheckStyle:http://eclipse-cs.sourceforge.net/#!/FindBugs:使用 - http://findbugs.sourceforge.net/manual/eclipse.html,下载 - https://
JAVA静态代码扫描参考文章
Websec
11-11 397
1、使用Gitlab+Jenkins+SonarQube实现代码审计指南:https://bloodzer0.github.io/ossa/other-security-branch/devsecops/gjs/#_3 2、SonarQube安全漏洞扫描:https://zhuanlan.zhihu.com/p/79186106 3、find-sec-bugs静态代码审计:https://www.anquanke.com/post/id/154476 4、find-sec-bugs开源代码以及博客:http
java 代码扫描_静态代码扫描 (四)——Java 资源关闭研究
weixin_33485981的博客
02-20 477
这是静态代码扫描系列文章的第四篇,前三篇文章介绍了如何使用 PMD 和 Findbugs 自定义规则。我们火线团队最近一直在研究 java 资源关闭的检查规则,发现市面上开源的工具针对资源关闭的检测都存在一定不足,同时也无法满足我们业务的需求。所以我们针对资源关闭进行了深度的研究,取得了一些不错的进展,但是过程的艰辛也远超了我们的预料。现在就跟大家聊聊我们的心路历程,从为什么开始。1. 为什么要手...
9 个最佳 Java 静态代码分析工具
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
08-13 8053
使用顶级 Java 静态代码分析工具列表来提高您的代码质量 - 确保您的代码干净、高效且无错误。开发人员如何防止频繁出现应用程序故障?自动化分析可能是答案。Java 静态代码分析工具有助于检测任何问题或,并通过自动化代码审查流程来帮助提高我们将探索一些市场上最好的工具,这些工具可以增强工作流程并创建更强大的代码。什么是静态代码分析?静态代码分析是一种无需执行源代码即可对其进行检查的技术。通过根据编码规则分析代码集,这种高级静态分析工具可以读取代码中的错误并确保其符合标准和最佳实践。
静态代码扫描(四)——Java资源关闭研究
oggboy的专栏
05-05 788
最近一直在研究java资源关闭的检查规则,发现市面上开源的工具针对资源关闭的检测都存在一定不足,同时也无法满足我们业务的需求。所以火线团队针对资源关闭进行了深度的研究,取得了一些不错的进展,但是过程的艰辛也远超了我们的预料。现在就跟大家聊聊我们的心路历程,从为什么开始。 1. 为什么要手动关闭Java资源对象?首先解释Java的资源对象,它主要包括IO对象,数据库连接对象。比如常见的InputStr
Java 代码扫描工具
chanziSAST的博客
10-16 1501
CodeQL是一个免费开源的代码语义分析引擎,利用QL语言对代码进行“查询”,实现对代码的安全性白盒审计和漏洞挖掘。铲子SAST是一个简单实惠的工具,支持Java及其生态系统中的框架和库。它通过构建数据流图来分析代码,提供常见的安全漏洞规则检测,并允许用户自定义规则。Fortify能够支持多种编程语言和开发环境,具有高效的扫描速度和精准的漏洞定位功能。铲子 SAST 是一款针对 Java 代码安全的扫描工具,简单好用易上手价格便宜,自定义规则可以根据用户需求自行编写。
java静态代码扫描工具CodeQL
最新发布
01-10
### Java CodeQL 静态代码分析工具使用指南 #### 工具概述 CodeQL 是一种强大的语义代码查询语言和自动化分析引擎,能够帮助开发者识别潜在的安全漏洞和其他质量问题。对于托管在 GitHub 上的开源项目而言,CodeQL 提供了免费的服务来执行静态应用安全测试(SAST)[^2]。 #### 准备工作环境 为了开始使用 CodeQL 进行 Java 项目的静态分析,首先需要准备合适的工作环境: - **安装 CodeQL CLI**:通过官方渠道下载并安装最新版本的 CodeQL 命令行接口(Command Line Interface),这是运行所有后续命令的基础[^3]。 - **配置开发环境**:建议采用 Visual Studio Code (VS Code) 结合 `vscode-codeql-starter` 插件作为主要IDE支持,这可以极大提高工作效率[^4]。 #### 创建数据库 针对目标 Java 应用程序建立专用的 CodeQL 数据库是启动任何具体分析前的关键步骤之一。此操作可以通过如下 shell 脚本完成: ```bash codeql database create /path/to/your/database \ --source-root=/path/to/java/project \ -j 0 -l java \ --command "mvn clean install -DskipTests" ``` 这段脚本指定了源码路径以及构建指令(`mvn`),确保编译过程中不会执行单元测试以节省时间。 #### 编写与执行查询 一旦有了可用的数据集之后就可以编写自定义 Query 来查找特定类型的缺陷或风险点了。下面给出一个简单的例子用来检测 SQL 注入的可能性: ```sql import java from MethodAccess ma, StringLiteral sl where ma.getExpr() instanceof MethodInvocation and ma.getMethod().getName().regexpMatch("(?i)^executeUpdate$") and exists(sl | sl.getParent() = ma.getArgument(0)) select ma, "Potential SQL injection vulnerability." ``` 上述查询逻辑是从所有的方法调用中筛选出那些可能涉及不安全SQL执行的地方,并标记它们以便进一步审查[^1]。 #### 查看结果报告 最后,在完成了查询之后,应该查看产生的结果文件(.bqrs,.csv等格式),从中获取到具体的警告信息及其上下文位置,从而指导修复措施的选择。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值