使用findbugs静态代码分析工具检查Android Java代码

• 2020 年 3 月 16 日
• 笔记

1.背景

在 android 开发中，我们可以使用 findbugs 工具来检查我们的java代码。

介绍

FindBug是一款开源的Java代码检查工具，遵循GNU公共许可协议。它可以检查Java类或者JAR文件，运行的是Java字节码而不是源码，检查原理是：将字节码与一组缺陷模式进行对比来发现可能存在的问题，这些问题包括空指针引用、无限递归循环、死锁等。检查的bug类型包括：

• Bad practice 坏的实践：常见代码错误，序列化错误，用于静态代码检查时进行缺陷模式匹配；
• Correctness 可能导致错误的代码，如空指针引用等；
• 国际化相关问题：如错误的字符串转换；
• 可能受到的恶意攻击，如访问权限修饰符的定义等；
• 多线程的正确性：如多线程编程时常见的同步，线程调度问题；
• 运行时性能问题：如由变量定义，方法调用导致的代码低效问题。

findbugs 官网：http://findbugs.sourceforge.net/

命令行方式的demo地址： https://github.com/vir56k/demo/tree/master/findbus/%E5%91%BD%E4%BB%A4%E8%A1%8C%E6%96%B9%E5%BC%8Ffindbugs

Gradle方式findbugs 的Demo地址： https://github.com/vir56k/demo/tree/master/findbus/gradle%E6%96%B9%E5%BC%8Ffindbugs/FindbusGradle

2.使用 命令行方式

下载findbugs

下载地址： http://findbugs.sourceforge.net/downloads.html 下载后是个压缩包，解压

查看使用手册

http://findbugs.sourceforge.net/manual/index.html

执行检查：

findbugs -textui -exclude myExcludeFilter.xml myApp.jar

参数说明： findbugs 是执行文件名，位于./bin 目录下 -textui 说明通过 无界面的方式运行 -exclude 和紧随其后的是要排除的检查的描述文件 myApp.jar 是要检查的jar 文件。android 要检查的目标位于 app/build/intermediates/javac 文件夹下

注意：在检查前要先编译

我的脚本

 # 准备环境信息    CUR=`PWD`    echo 当前工作目录:${CUR}    basepath=$(cd `dirname $0`; pwd)    echo 当前执行的脚本文件的父目录:${basepath}      FINDBUGS_HOME=$basepath/findbugs-3.0.1        # 项目目录    PROJ_DIR=$(cd ${basepath}; cd ../../; pwd)    echo PROJ_DIR:${PROJ_DIR}        # Usage: findbugs [general options] -textui [command line options...] [jar/zip/class files, directories...]      ${FINDBUGS_HOME}/bin/findbugs  -textui -exclude exclude.xml ${PROJ_DIR}/app/build/intermediates/javac

3.使用 命令行方式

gradle 提供了插件支持 findbugs

引入插件

apply plugin: 'findbugs'

写一个 task

  task findbugs(type: FindBugs, dependsOn: "assembleDebug") {        ignoreFailures = true        effort = "max"        reportLevel = "high" //low,medium,high    //    reportLevel = "low"        excludeFilter = new File("$configDir/findbugs/findbugs-filter.xml")        classes = files("${project.rootDir}/app/build/intermediates/javac")          source 'src'        include '**/*.java'        exclude '**/gen/**'          reports {            xml.enabled = false            html.enabled = true            xml {                destination "$reportsDir/findbugs/findbugs.xml"            }            html {                destination "$reportsDir/findbugs/findbugs.html"            }        }          classpath = files()    }

关联到 check 任务

check.dependsOn 'findbugs'

执行 findbugs

在命令行中执行：

  ./gradlew check

获得检测报告

在 你的android 项目中的路径： /app/build/reports/findbugs 找到 findbugs.html ，这就是报告内容

报告截图

image.png

4.参考

官网：http://findbugs.sourceforge.net/