干货:分分钟干掉Bug之灵活地运用Findbugs过滤器

前言

Findbugs是一款比较成熟的静态代码检查工具,能够方便准确地检查出代码中存在的一些问题,检查结果简洁明了,检查规则的可配置性也非常高,在生产环境中可以很方面的快速解决一些潜在的问题。然而默认的Findbugs给出的报告存在很多我们不关心的问题,或者说对我们业务代码基本没有影响的警告,如果不对这些内容设置过滤很大程度上会加大我们的排查成本。下面就来简单介绍下使用和配置方法以及如何在结合我们的开发过程来使用。

添加Findbugs任务

在gradle中加入下面的内容即可快速添加findbugs的task

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
apply plugin: 'findbugs'
task findbugs(type: FindBugs)
{
//excludeFilter file('findbugs-filter.xml')
classes = fileTree('build/intermediates/classes/debug')
source = fileTree('src/main/java/')
classpath = files()
effort = 'max'
reportLevel = 'medium'
ignoreFailures = true
reports {
//只能开启一个
xml.enabled false
html.enabled true
html.stylesheet resources.text.fromFile('findbugs-template.xsl')
}
}

  • effort 可以设置成max和min,一般在内存和时间不紧张的情况下都用max
  • reportLevel 检测级别,可以设置成low,medium和high,默认是medium
  • reports设置生成的报告类型和地址,只能选择xml或者html中的一种

设置过滤器

先来看看findbugs给的报告:
报告

findbugs默认给的报告中有许多类型的警告是我们不关心的,所以我们需要设置一个过滤器来接受我们关注的内容过滤掉不需要的警告
excludeFilter就是用来配置过滤器的,过滤内容则通过findbugs-filter.xml文件来约定,也是findbugs配置中最重要的一个环节。

findbugs的检查报告包括了分好几大类型的警告(Warning Type),如图中的Bad prictice Warnings,Internationalization Warnings等类型,每个类型下又有其他的代码警告(Code Warning),如图中 的code码Nm和后面的介绍,当然其中有很多我们不关心的警告Code,比如Eq(建议用equals()来代替==进行比较的警告)UrF(提示Activity中的控件如TextView没有初始化,其实我们是通过注入初始化的)等在某些类型的警告中是我们不关注的,需要过滤掉。接下来简单说一下如何配置过滤规则。

过滤标签介绍

  • <Bug> 设置警告的类型

  • <Confidence>设置过滤等级

  • <Package>设置过滤包名

  • <Class>设置过滤的类名

  • <Source>设置过滤的源文件名

  • <Method>设置过滤的方法名

过滤组合操作符:

  • <Or>或

  • <And>与

  • <Not>非

过滤器设置示例

这里把国际化相关的警告全部过滤掉了

1
2
3
4
<!-- code flaws having to do with internationalization and locale -->
<Match>
<Bug category="I18N" />
</Match>

有的时候我们可能只想过滤掉某个大的类别中的几个小的类型的警告,比如过滤掉Performence中的UrF

1
2
3
4
5
6
<Match>
<And>
<Bug category="PERFORMANCE" />
<Bug code="SIC,UrF,UuF" />
</And>
</Match>

过滤某个特定的类:

1
2
3
<Match>
<Class name="com.foobar.MyClass" />
</Match>

或者是类中的特定某些警告类型

1
2
3
4
<Match>
<Class name="com.foobar.MyClass"/ >
<Bug code="DE,UrF,SIC" />
</Match>

全局过滤某些警告类型:

1
2
3
4

<Match>
<Bug code="DE,UrF,SIC" />
</Match>

运用组合条件过滤某个类中的特定内容警告:

1
2
3
4
5
6
7
8
<Match>
<Class name="com.foobar.MyClass" />
<Or>
<Method name="frob" params="int,java.lang.String" returns="void" />
<Method name="blat" params="" returns="boolean" />
</Or>
<Bug code="DC" />
</Match>

当然用法可以很灵活,能够非常方便的定制符合业务需求的过滤器 ,从而达到最高效解决我们关注问题的目的。

获取报告文件

配置好过滤器之后只要在命令行敲入gradle findbugs即可得到一份报告文档,接下来就可以开心地解决问题了

如何结合开发环境使用

这是最后比较关键的一点,前面的内容都是为了最后方便我们解决问题,所以在这里建议在自己分支开发完相关的功能之后就可以运行findbugs来查看是否自己在开发新需求的时候产生了可能的问题,如果报告内容有提示则需要把相关的 问题给解决了再提交代码。当然报告的内容不一定都是需要解决的问题,如果你认为相关的警告实际中是没有必要考虑的可以自行在配置文件中过滤掉就行了,保证最后提交的代码是没有报告文件产生的(即在自己分支上运行findbugs最后没有报告文件生成说明我们关注的问题全都解决了)那么就大功告成。

附录

Warning Type 与Bug Category的对应关系

当我们想对某种大的类型的警告进行过滤时可以使用该转换表,如过滤掉所有与国际化相关的警告(Internationalization Warnings):

1
2
3
<Match>
<Bug category="I18N" />
</Match>

The bug categories can be disabled by specifying the category attribute in the exclusion file:

  • Internationalization Warnings: I18N
  • Malicious code Warnings: MALICIOUS_CODE
  • Experimental Warnings: EXPERIMENTAL
  • Correctness Warnings: CORRECTNESS
  • Performance Warnings: PERFORMANCE
  • Dodgy Code Warnings: STYLE
  • Bad practice Warnings: BAD_PRACTICE

FindBugs的一些Bug种类说明(全部说明请参考:http://findbugs.sourceforge.net/bugDescriptions.html)

Bad practice 糟糕的代码实现:

  • HE: 类定义了equals(),却没有hashCode();或类定义了equals(),却使用Object.hashCode();或类定义了hashCode(),却没有equals();或类定义了hashCode(),却使用Object.equals();类继承了equals(),却使用Object.hashCode()。
  • SQL:Statement 的execute方法调用了非常量的字符串;或Prepared Statement是由一个非常量的字符串产生。
  • DE: 方法终止或不处理异常,一般情况下,异常应该被处理或报告,或被方法抛出。

Malicious code vulnerability 存在安全隐患的代码

如果代码公开,可能受到恶意攻击的代码,下面列举几个:

  • FI: 一个类的finalize()应该是protected,而不是public的。
  • MS:属性是可变的数组;属性是可变的Hashtable;属性应该是package protected的。

Correctness 可能出错的代码

可能导致错误的代码,下面列举几个:

  • NP: 空指针被引用;在方法的异常路径里,空指针被引用;方法没有检查参数是否null;null值产生并被引用;null值产生并在方法的异常路径被引用;传给方法一个声明为@NonNull的null参数;方法的返回值声明为@NonNull实际是null。
  • Nm: 类定义了hashcode()方法,但实际上并未覆盖父类Object的hashCode();类定义了tostring()方法,但实际上并未覆盖父类Object的toString();很明显的方法和构造器混淆;方法名容易混淆。
  • SQL:方法尝试访问一个Prepared Statement的0索引;方法尝试访问一个ResultSet的0索引。
  • UwF:所有的write都把属性置成null,这样所有的读取都是null,这样这个属性是否有必要存在;或属性从没有被write。

Dodgy Code 存在潜在危险的代码

具有潜在危险的代码,可能运行期产生错误,下面列举几个:

  • CI: 类声明为final但声明了protected的属性。
  • DLS:对一个本地变量赋值,但却没有读取该本地变量;本地变量赋值成null,却没有读取该本地变量。
  • ICAST: 整型数字相乘结果转化为长整型数字,应该将整型先转化为长整型数字再相乘。
  • INT:没必要的整型数字比较,如X <= Integer.MAX_VALUE。
  • NP: 对readline()的直接引用,而没有判断是否null;对方法调用的直接引用,而方法可能返回null。
  • REC:直接捕获Exception,而实际上可能是RuntimeException。
  • ST: 从实例方法里直接修改类变量,即static属性。

Performance 性能不佳的代码

可能导致性能不佳的代码,下面列举几个:

  • DM:方法调用了低效的Boolean的构造器,而应该用Boolean.valueOf(…);用类似Integer.toString(1) 代替new Integer(1).toString();方法调用了低效的float的构造器,应该用静态的valueOf方法。
  • SIC:如果一个内部类想在更广泛的地方被引用,它应该声明为static。
  • SS: 如果一个实例属性不被读取,考虑声明为static。
  • UrF:如果一个属性从没有被read,考虑从类中去掉。
  • UuF:如果一个属性从没有被使用,考虑从类中去掉。

Multithreaded correctness 多线程不安全的代码

多线程编程时,可能导致错误的代码,下面列举几个:

  • ESync:空的同步块,很难被正确使用。
  • MWN:错误使用notify(),可能导致IllegalMonitorStateException异常;或错误的使用wait()。
  • No: 使用notify()而不是notifyAll(),只是唤醒一个线程而不是所有等待的线程。
  • SC: 构造器调用了Thread.start(),当该类被继承可能会导致错误。

Internationalization 国际化存在问题的代码

当对字符串使用upper或lowercase方法,如果是国际的字符串,可能会不恰当的转换。

过滤器设置参考

官方文档:http://findbugs.sourceforge.net/manual/filter.html

Maydaaa wechat
欢迎添加微信好友共同交流学习!
坚持原创技术分享,您的支持将鼓励我继续创作!