使用SpotBugs 进行代码检查

最新推荐文章于 2025-03-07 09:54:56 发布
最新推荐文章于 2025-03-07 09:54:56 发布
阅读量3.4w 收藏 26
点赞数 3
分类专栏: JAVA 文章标签: SpotBugs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangb00/article/details/84070706
版权
SpotBugs作为Findbugs的继任者,用于静态代码分析,检测潜在漏洞。它包括多种检测器,覆盖不佳实践、正确性、性能等问题,并支持1.0至1.9的Java代码。可通过Maven插件或IDE集成使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SpotBugs 介绍

SpotBugs是Findbugs的继任者(Findbugs已经于2016年后不再维护,see https://mailman.cs.umd.edu/pipermail/findbugs-discuss/2016-November/004321.html),用于对代码进行静态分析,查找相关的漏洞。

目前SpotBugs 3.1.3 自带检测器,其中有90余种Bad practice,155余种Correctness,9种Experimental, 2种 Internationalization,17种Malicious code vulnerability,46种Multithreaded correctness,4种 Bogus random noise,37种Performance,11种 Security,87种Dodgy。

  1. Bad practice 不佳实践:常见代码错误,用于静态代码检查时进行缺陷模式匹配(如重写equals但没重写
    hashCode,或相反情况等)
  2. Correctness 可能导致错误的代码(如空指针引用、无限循环等)
  3. Experimental 实验性
  4. Internationalization 国际化相关问题(如错误的字符串转换等)
  5. Malicious code vulnerability 可能受到的恶意攻击(如访问权限修饰符的定义等)
  6. Multithreaded correctness 多线程的正确性(如多线程编程时常见的同步,线程调度问题等)
  7. BogusMultithreaded correctness 多线程的正确性(如多线程编程时常见的同步,线程调度问题等)
  8. Performance 运行时性能问题(如由变量定义,方法调用导致的代码低效问题等)
  9. Security 安全问题(如HTTP,SQL,DB等)
  10. Dodgy code 导致自身错误的代码(如未确认的强制转换、冗余的空值检查等)

注: SpotBugs 需要当前的JDK环境为 1.8以上,但可以对1.0~1.9的代码来进行检查。

SpotBugs 插件

SpotBugs 还有对应的额外插件,用于扩展对应的规则,探测出更多的代码问题。

fb-contrib

目前最新为7.4.3,增加了大致130+条规则;其中因 FindBugs分叉,SpotBugs需要使用-sb版本。
官网 : https://github.com/mebigfatguy/fb-contrib

find-sec-bugs

目前最新为 1.8.0,针对安全(Security)增加了大致70+条规则
官网: https://github.com/find-sec-bugs/find-sec-bugs

SpotBugs 使用

Maven

maven 插件方式使用 spotbugs及相关插件

<plugin>
	<groupId>com.github.spotbugs</groupId>
	<artifactId>spotbugs-maven-plugin</artifactId>
	<version>3.1.1</version>
	<configuration>
		<plugins>
			<plugin>
				<groupId>com.h3xstream.findsecbugs</groupId>
				<artifactId>findsecbugs-plugin</artifactId>
				<version>LATEST</version>
			</plugin>
			<plugin>
				<groupId>com.mebigfatguy.fb-contrib</groupId>
				<artifactId>fb-contrib</artifactId>
				<version>7.4.3.sb</version>
			</plugin>
		</plugins>
	</configuration>
</plugin>

IDE环境

Eclipse

  1. 请在对应的marketplace 搜索或install new software来进行spotbugs的安装,正式版本的安装路径 https://spotbugs.github.io/eclipse/

  2. 安装插件后,可以在对应的Preferences 进行更多SpotBugs plugin安装,参考如下图:
    在这里插入图片描述

    可以通过以下网址获取最新的插件jar
    https://mvnrepository.com/artifact/com.mebigfatguy.fb-contrib/fb-contrib
    https://mvnrepository.com/artifact/com.h3xstream.findsecbugs/findsecbugs-plugin

  3. 完成安装后,可以对java工程或者对应的类,右键进行 SpotBugs ->Find Bugs
    在这里插入图片描述

JetBrain IDEA

目前没有SpotBugs插件,原FindBugs插件作者、IDEA还在讨论商标问题,请先使用 原有FindBugs代替。
https://github.com/andrepdo/findbugs-idea/issues/265
https://youtrack.jetbrains.com/issue/IDEA-201846

其他

其他更多内容可以参考SpotBugs 官方文档
https://spotbugs.readthedocs.io/en/latest/installing.html

使用Eclipse +SpotBugs 检测代码弱点
oscar999的专栏
05-10 1351
SpotBugs 是分析Java代码弱点的静态分析工具,SpotBugs提供了Eclipse的插件使用方式,在Eclipse 中安装插件之后就可以坚持Java代码的弱点了。
spotbugs,spotbug是findbugs的继承者。一种静态分析工具,用于查找Java代码中的错误。.zip
10-13
SpotBugs is the spiritual successor of FindBugs, carrying on from the point where it left off with support of its community. SpotBugs is licensed under the GNU LESSER GENERAL PUBLIC LICENSE. More information at the official website. A lot of things can still be found at the old FindBugs website. Bui
使用SpotBug进行静态代码检查
王浩的技术博客
11-07 5758
在运行程序前我们可以通过编译来发现问题,但这样是远远不够的。这是因为在编译期间仅捕获到非常小的错误范围,即语法错误,无效引用等。当程序包含编译错误时,IDE会发出警告,但它无法防范其他类型的错误,例如运行时错误或逻辑错误。 通过使用静态分析工具SpotBugs,浏览代码以查找某些“已知的坏味道”:可能会导致偶发性/间歇性问题,性能不佳等的事物。这些问题很难通过测试找到,因此通过检查通常是唯一可行的...
【2025版】最新IDEA下载和安装保姆级教程,Java环境配置和使用指南
最新发布
bigbangbangbang1的博客
03-07 5524
IDEA(IntelliJ IDEA)是一款由JetBrains开发的集成开发环境(IDE),主要用于Java、Kotlin、Groovy和其他编程语言的开发。它是一款功能强大且受欢迎的开发工具,被广泛用于企业软件开发、Web应用程序开发、移动应用程序开发等领域。以下是一些IDEA的主要特点和功能:智能代码编辑:IDEA提供了智能代码补全、语法高亮、自动导入等功能,可以大大提高代码编写的效率。强大的调试器:IDEA内置了强大的调试器,可以帮助开发者快速定位和解决代码中的问题。
spotbugsSpotBugs是FindBugs的继任者。 静态分析工具,用于查找Java代码中的错误
02-03
是的精神继任者,从它在社区的支持下停止发展。 SpotBugs是根据。 更多信息请访问。 在仍然可以找到很多东西。 建立 SpotBugs使用构建的。 推荐的获取方法是简单地运行gradlew (或gradlew.bat )包装器,该包装器将根据需要自动下载并运行正确的版本(使用gradle/wrapper/gradle-wrapper.properties的设置)。 要查看构建选项的列表,请运行gradle tasks (或gradlew tasks )。 build任务将执行完整的构建和测试。 要构建SpotBugs Eclipse插件,你需要创建文件eclipsePlugin/local.properties ,含物业eclipseRoot.dir它指向一个Eclipse安装的根目录下(见.travis.yml为例),然后运行建立。 仅要准备Eclipse环境,请运行./gradlew eclipse 。 另请参见。 使用SpotBugs SpotBugs可以独立使用,也可以通过多种集成使用,包括: 有什么问题吗 您可以使用与我们。
SpotBugs(是FindBugs的继任者)安装、使用
听海边涛声
09-08 3001
SpotBugs(是FindBugs的继任者)安装、使用
spotbugs-4.2.0.zip
01-18
使用SpotBugs进行代码检查的过程相对简单。首先,你需要将spotbugs-4.2.0解压,然后通过命令行工具或者集成到IDE(如Eclipse、IntelliJ IDEA)中,指定要分析的项目或代码库。SpotBugs会生成一个HTML或XML格式的报告...
IDEA 使用 SpotBugs 找出你代码中的bug
老三的博客
07-28 6606
SpotBugs是 Findbugs 的继任者,通过静态分析来查找 Java 代码中的 bug。 下面我们主要是介绍 SpotBugs 在 idea 中的安装和使用 安装 Idea - Preferences - Plugins,在插件市场搜索 spotbugs 点击安装 安装完成之后需要重启 Idea 以使其生效。 最后一步就是激活 最后一步是通过检查 Find Security Bugs的条目来激活安全规则(已经内置好的)。 推荐配置 对于大多数用户来说,建议...
spotbugs-4.0.2.tgz
04-17
使用SpotBugs进行代码审计,可以显著提高代码质量,减少软件上线后的故障率,同时也有助于提高开发团队的生产力,因为可以在早期阶段就发现并解决潜在问题。 在代码审计过程中,SpotBugs主要关注以下几个方面: 1....
SpotBugs是FindBugs的继任者静态分析的工具用来寻找Java代码中bug
08-06
SpotBugs是FindBugs的继任者,静态分析的工具用来寻找Java代码中bug
spotbugs-4.1.4.zip
11-19
公司官网无法下载github资源,上传这里中转下,建议大家从官网下载,这里不再解释了,请大家见谅!!!
spotbugs-idea-1.2.4.zip
06-09
spotbugs与findbugs同样使用的bug插件工具
spotbugs-release-3.1.zip
05-22
spotbugs-release-3.1源码,findbugs的继承者。可以通过修改源码加入自定义规则。
代码Bug太多?给新人Code Review头都大了?快来试试SpotBugs
水妖
04-03 1268
如果你需要一个自动化的工具帮助你或者你的团队发现代码中的缺陷,在提升代码质量同时减少人工Code Review的成本,那这篇文章非常的适合你。
idea spotbugs
yangyangrenren的专栏
03-17 1450
使用的是idea2020.2版本,此版本在plugins——marketplace里面,搜索不出来。得知idea-2020版不再支持findbugs,改用spotbugs代替。 配置 使用(注意先编译,spotbugs是针对class文件做扫描)
SpotBugs使用
javajingling的专栏
02-26 2202
spotbugs命令行参数解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值