�?FindBugs�Q�第 1 部分: 提高代码质量

二胡 — Thu, 16 Apr 2009 05:12:00 GMT

�?http://www.ibm.com/developerworks/cn/java/j-findbug1/#resources

FindBugs�Q�第 1 部分: 提高代码质量

使用 FindBugs 的原因和�Ҏ(gu��)��

文档选项

未显�C�需�?JavaScript 的文档选项

		打印本页
		��此��作为电(sh��)子邮件发�?/strong>

�U�别�Q?初��

Chris Grindstaff (chris@gstaff.org), 软�g工程�?br />

2004 �q? 5 �? 25 �?/p>

�? 态分析工��h��诺无需开发�h员费劲就能找��Z��码中已有的缺陗��当�Ӟ��如果有多�q�的�~�写�l�验�Q�就会知道这些承诺�ƈ不是一定能兑现。尽��如此，好的静态分析工�? 仍然是工��L��中的无�h(hu��n)之宝。在�q�个�׃��部分�l�成的系列文章的�W�一部分中，高��软�g工程�?Chris Grindstaff 分析�?FindBugs 如何帮助提高代码质量以及排除隐含的缺陗��?/blockquote>
代码质量工具的一个问题是它们�Ҏ(gu��)��为开发�h员提供大量但�q��真正问题的问题——即伪问题（false positives�Q?/em>�? 出现伪问题时�Q�开发�h员要学会忽略工具的输出或者放弃它。FindBugs 的设计�?David Hovemeyer �?William Pugh 注意��C��q�个问题�Q��ƈ努力减少他们所报告的伪问题数量。与其他静态分析工具不同，FindBugs 不注重样式或者格式，它试囑֏��L��真正的缺��h��者潜在的性能问题�?

FindBugs 是什么？

FindBugs 是一个静态分析工��P��它检查类或�?JAR 文�g�Q�将字节码与一�l�缺��h��式进行对比以发现可能的问题。有了静态分析工��P��可以在不实际运行程序的情况对��Y件进行分析。不是通过分析�c�L��件的形式或结构来��定�E�序的意图，而是通常使用 Visitor 模式�Q�请参阅参考资�?/a>�Q�。图 1 昄��了分析一个匿名项目的�l�果�Q��ؓ防止可怕的犯罪�Q�这里不�l�出它的名字�Q�：

�?1. FindBugs UI

让我们看几个 FindBugs 可以发现的问题�?/p>

本系列的�W�二��文�?#8220; �~�写自定义检��器”解释了如何编写自定义��器�Q?以便发现特定于应用程序的问题�?

回页�?/strong>

问题发现的例�?/span>

下面的列表没有包�?FindBug 可以扑ֈ��? 所�?/em>问题。相反，我侧重于一些更有意思的问题�?

��器�Q�找�?hash equals 不匹�?/strong>
�q�个��器��L��? equals() �? hashCode() 的实现相关的几个问题。这两个�Ҏ(gu��)��非常重要�Q�因为几乎所有基于集合的�c�Z��?List、Map、Set �{�都调用它们。一般来��_��q�个��器��L��两种不同�c�d��的问题——当一个类�Q?

重写对象�? equals() �Ҏ(gu��)��Q�但是没有重写它�? hashCode �Ҏ(gu��)��Q�或者相反的情况时�?

定义一�?co-variant 版本�? equals() �? compareTo() �Ҏ(gu��)��。例如， Bob �c�d��义其 equals() �Ҏ(gu��)��为布?y��u)? equals(Bob) �Q�它覆盖了对象中定义�? equals() �Ҏ(gu��)��。因�?Java 代码在编译时解析重蝲�Ҏ(gu��)��的方式，在运行时使用的几乎��L��在对象中定义的这个版本的�Ҏ(gu��)��Q�而不是在 Bob 中定义的那一个（除非昑ּ��? equals() �Ҏ(gu��)��的参数强制�{换�ؓ Bob �c�d��Q�。因此，当这个类的一个实例放入到�c�集合中的�Q何一个中�Ӟ��使用的是 Object.equals() 版本的方法，而不是在 Bob 中定义的版本。在�q�种情况下， Bob �c�d��当定义一个接受类型�ؓ Object 的参数的 equals() �Ҏ(gu��)��?

��器�Q�忽略方法返回�?/strong>
�q�个��器查找代码中忽略了不应该忽略的�Ҏ(gu��)��q�回值的地方。这�U�情�늚�一个常见例子是在调�? String �Ҏ(gu��)��Ӟ��如在清单 1 中：

清单 1. 忽略�q�回值的例子

1 String aString = "bob";
2 b.replace('b', 'p');
3 if(b.equals("pop"))

�q�个错误很常见。在�W?2 行，�E�序员认��Z��已经�?p 替换了字�W�串中的所�?b。确实是�q�样�Q�但是他忘记了字�W�串是不可变的。所有这�c�L��法都�q�回一个新字符�Ԍ��而从来不会改变消息的接收者�?/p>
��器�Q�Null 指针�?null 的解引用�Q�dereference�Q�和冗余比较
�q�个��器查找两类问题。它查找代码路径��会或者可能造成 null 指针异常的情况，它还查找�?null 的冗余比较的情况。例如，如果两个比较值都�?null�Q�那么它们就是冗余的�q�可能表明代码错误。FindBugs 在可以确定一个��gؓ null 而另一个��g��?null �Ӟ��类似的错误�Q�如清单 2 所�C�：

清单 2. Null 指针�C�Z��

1 Person person = aMap.get("bob");
2 if (person != null) {
3 person.updateAccessTime();
4 }
5 String name = person.getName();

在这个例子中�Q�如果第 1 行的 Map 不包括一个名�?#8220;bob”的�h�Q�那么在�W?5 行询�? person 的名字时��׃��出现 null 指针异常。因�?FindBugs 不知�?map 是否包含“bob”�Q�所以它?y��u)��?5 行标��Cؓ可能 null 指针异常�?

��器�Q�初始化之前��d��字段
�q�个��器��L��在构造函��C��初始化之前被��d��的字�D�c��这个错误通常是——尽��不��L��如此——由使用字段名而不是构造函数参数引��L��Q�如清单 3 所�C�：

清单 3. 在构造函��C��d��未初始化的字�D?/strong>

1 public class Thing {
2 private List actions;
3 public Thing(String startingActions) {
4 StringTokenizer tokenizer = new StringTokenizer(startingActions);
5 while (tokenizer.hasMoreTokens()) {
6 actions.add(tokenizer.nextToken());
7 }
8 }
9 }

在这个例子中�Q�第 6 行将产生一�?null 指针异常�Q�因为变�? actions �q�没有初始化�?

�q�些例子只是 FindBugs 所发现的问题种�cȝ��一��部分（更多信息请参�? 参考资�?/a>�Q�。在撰写本文�Ӟ��FindBugs 提供��d�� 35 个检��器�?

回页�?/strong>

开始��?FindBugs

要运�?FindBugs�Q�需要一个版�?1.4 或者更高的 Java Development Kit �Q�JDK�Q�，��管它可以分析由老的 JDK 创徏的类文�g。要做的�W�一件事是下载�ƈ安装最新发布的 FindBugs——当前是 0.7.1 �Q�请参阅参考资�?/a>�Q�。幸�q�的是，下蝲和安全是相当��单的。在下蝲�?zip 或�?tar 文�g后，��它解压�~�到所选的目录中。就是这样了——安装就完成了�?

�? 装完后，对一个示例类�q�行它。就像一般文章中的情况，我将针对 Windows 用户�q�行讲解�Q��ƈ假定那些 Unix 信�Ԓ者可以熟�l�地转化�q�些内容�q�跟�q�。打开命��o行提�C�符号�ƈ�q�入 FindBugs 的安装目录。对我来��_��q�是 C:\apps\FindBugs-0.7.3�?/p>
�?FindBugs �ȝ��录中�Q�有几个值得注意的目录。文档在 doc 目录中，但是�Ҏ(gu��)��们来说更重要的是�Q�bin 目录包含了运�?FindBugs 的批处理文�g�Q�这使我们进入下一部分�?/p>

回页�?/strong>

�q�行 FindBugs

�? 如今的大多数数工具一��P��可以以多�U�方式运�?FindBugs——从 GUI、从命��o行、��?Ant、作�?Eclipse 插�g�E�序和��? Maven。我��简要提及从 GUI �q�行 FindBugs�Q�但是重�Ҏ(gu��)��在用 Ant 和命令行�q�行它。部分原因是�׃�� GUI 没有提供命��o行的所有选项。例如，当前不能指定要加入的�q��o器或者在 UI 中排除特定的�c�R��但是更重要的原因是我认�?FindBugs 最好作为编译的集成部分使用�Q��?UI 不属于自动编译�?/p>
使用 FindBugs UI

使用 FindBugs UI 很直观，但是有几点值得说明。如 �?1所�C�，使用 FindBugs UI 的一个好处是�Ҏ(gu��)��一个检��到的问题提供了说明。图 1 昄��了缺�? Naked notify in method的说明。对每一�U�缺��h��式提供了�c�M��的说明，在第一�ơ熟�(zh��n)�这�U�工��h��q�是很有用的。窗口下面的 Source code 选项卡也同样有用。如果告�?FindBugs 在什么地方寻找代码，它就会在转换到相应的选项卡时�H�出昄��有问题的那一行�?

值得一提的�q�有在将 FinBugs 作�ؓ Ant ��d��或者在命��o行中�q�行 FindBugs �Ӟ��选择 xml 作�ؓ ouput 选项�Q�可以将上一�ơ运行的�l�果装蝲�?UI 中。这样做是同时利用基于命令行的工具和 UI 工具的优点的一个很好的�Ҏ(gu��)��?

��?FindBugs 作�ؓ Ant ��d��q�行

�? 我们看一下如何在 Ant �~�译脚本中��?FindBugs。首先将 FindBugs Ant ��d��拯��?Ant �?lib 目录中，�q�样 Ant ��q��道新的�Q务。将 FIND_BUGS_HOME\lib\FindBugs-ant.jar 拯��?ANT_HOME\lib�?/p>
现在看看在编译脚本中要加入什么才能��?FindBugs ��d��。因�?FindBugs 是一个自定义��d��Q�将需要��? taskdef ��d��以�� Ant 知道装蝲哪一个类。通过在编译文件中加入以下一行做到这一点：

在定义了 taskdef 后，可以用它的名�? FindBugs 引用它。下一步要在编译中加入使用��C�Q务的目标�Q�如清单 4 所�C�：

清单 4. 创徏 FindBugs 目录

1
2
3
4
5
6
7

让我们更详细地分析这�D�代码中所发生的过�E��?/p>
�W?1 行： 注意 target 取决于编译。一定要��C��处理的是�c�L��件�? �?/em> 是源文�g�Q�这样�� target 对应于编译目标保证了 FindBugs 可在最新的�c�L��件运行。FindBugs 可以灉|��地接受多�U�输入，包括一�l�类文�g、JAR 文�g、或者一�l�目录�?

�W?2 行：必须指定包含 FindBugs 的目录，我是�?Ant 的一个属性完成的�Q�像�q�样�Q?

可选属�? output 指定 FindBugs 的结果��用的输出格式。可能的值有 xml �? text 或�? emacs 。如果没有指�? outputFile �Q�那�?FindBugs 会��用标准输出。如前所�q�ͼ�XML 格式有可以在 UI 中观看的额外好处�?

�W?3 行： class 元素用于指定�?FindBugs 分析哪些 JAR、类文�g或者目录。分析多�?JAR 或者类文�g�Ӟ��要�ؓ每一个文件指定一个单独的 class 元素。除非加入了 projectFile 元素�Q�否则需�? class 元素。更多细节请参阅 FindBugs 手册�?

�W?4 行： 用嵌套元�? auxClasspath 列出应用�E�序的依赖性。这些是应用�E�序需要但是不希望 FindBugs 分析的类。如果没有列出应用程序的依赖关系�Q�那�?FindBugs 仍然会尽可能地分析类�Q�但是在找不��C��个缺��的�c�L��Q�它会抱怨。与 class 元素一��P��可以�?FindBugs 元素中指定多�? auxClasspath 元素�? auxClasspath 元素是可选的�?

�W?5 行： 如果指定�? sourcePath 元素�Q�那�? path 属性应当表明一个包含应用程序源代码的目录。指定目录�� FindBugs 可以�?GUI 中查�?XML �l�果时突出显�C�出错的源代码。这个元素是可选的�?
上面��是基本内容了。让我们提前几个星期�?
�q��o�?/span>

�(zh��n)? 已经��?FindBugs 引入��C��团队中，�q�运行它作�ؓ�(zh��n)�的每小�?每晚�~�译�q�程的一部分。当团队��来��熟�(zh��n)�这个工��h��Q�出于某些原因，�(zh��n)�决定所��到的一些缺陷对于团队来说不�? 要。也许�?zh��n)�不关心一些类是否�q�回可能被恶意修改的对象——也许，�? JEdit�Q�有一个真正需要的�Q�honest-to-goodness�Q�、合法的理由调用 System.gc() �?

��L��可以选择“关闭”特定�? ��器。在更细化的水��^上，可以在指定的一�l�类甚至是方法中查找问题�Ӟ��排除某些��器。FindBugs 提供了这�U�细化的控制�Q�可以排除或者包含过滤器。当前只有用命��o行或�?Ant 启动�?FindBugs 中支持排除和包含�q��o器。正如其名字所表明的，使用排除�q��o器来排除�Ҏ(gu��)��些缺��L��报告。较为少见但仍然有用的是�Q�包含过滤器只能用于报告指定的缺陗��过�? 器是在一�?XML 文�g中定义的。可以在命��o行中用一个排除或者包含开兟뀁或者在 Ant �~�译文�g中用 excludeFilter �? includeFilter 指定它们。在下面的例子中�Q�假定��用排除开兟뀂还要注意在下面的讨��Z��Q�我�?“bugcode”�?#8220;bug” �?#8220;detector”的��用具有某�U�程度的互换性�?

可以有不同的方式定义�q��o器：

匚w��一个类的过滤器。可以用�q�些�q��o�?忽略在特定类中发现的所有问题�?

匚w��一个类中特定缺陷代码（bugcode�Q�的 �q��o器。可以用�q�些�q��o器忽略在特定�c�M��发现的一些缺陗��?

匚w��一�l�缺��L��q��o器。可以用�q�些�q��o�?忽略所分析的所有类中的一�l�缺陗��?

匚w��所分析的一个类中的某些�Ҏ(gu��)��的过滤器。可以用�q�些�q��o器忽略在一个类中的一�l�方法中发现的所有缺陗��?

匚w��在所分析的一个类中的�Ҏ(gu��)��中发现的某些�~�陷的过滤器。可以用�q�些�q��o器忽略在一�l�方法中发现的特定缺陗��?/li>

知道了这些就可以开始��用了。有兛_��他定�?FindBugs �Ҏ(gu��)��的更多信息，请参�?FindBugs 文档。知道如何设�|�编译文件以后，��p��我们更详�l�地分析如何��?FindBugs 集成到编译过�E�中吧！

回页�?/strong>

��?FindBugs 集成到编译过�E�中

在将 FindBugs 集成到编译过�E�当中可以有几种选择。��L��可以在命令行执行 FindBugs�Q�但是�?zh��n)�很可能已�l��?Ant �q�行�~�译�Q�所以最自然的方法是使用 FindBugs Ant ��d��。因为我们在如何�q�行 FindBugs一节中讨论了��?FindBugs Ant ��d��的基本内容，所以现在讨论应当将 FindBugs 加入到编译过�E�中的几个理由，�q�讨论几个可能遇到的问题�?

��Z��么应该将 FindBugs 集成到编译过�E�中�Q?/span>

�l? 帔R��到的�W�一个问题是��Z��么要��?FindBugs 加入到编译过�E�中�Q�虽然有大量理由�Q�最明显的回�{�是要保证尽可能早地在进行编译时发现问题。当团队扩大�Q��ƈ且不可避免地在项目中加入更多新开发�h�? �Ӟ��FindBugs 可以作�ؓ一个安全网�Q�检��出已经识别的缺��h��式。我想重甛_��一��?FindBugs 论文中表�q�的一些观炏V��如果让一定数量的开发�h员共同工作，那么在代码中��׃��出现�~�陷。像 FindBugs �q�样的工具当然不会找出所有的�~�陷�Q�但是它们会帮助扑և�其中的部分。现在找出部分比客户在以后找到它们要好——特别是当将 FindBugs �l�合到编译过�E�中的成本是如此低时�?/p>
一旦确定了加入哪些�q��o器和�c�，�q�行 FindBugs ��没什么成本了�Q�而带来的好处��是它会��出新缺陗��如果编写特定于应用�E�序的检��器�Q�则�q�个好处可能更大�?/p>
生成有意义的�l�果

�? 要的是要认识到这�U�成�?效益分析只有在不生成大量误检时才有效。换句话��_��如果在每�ơ编译时�Q�不能简单地��定是否引入了新的缺��P��那么�q�个工具的�h(hu��n)值就会被抉|��。分析越自动化越好。如果修复缺��h��味着必须吃力地分析检��出的大量不相干的缺��P��那么�(zh��n)�就不会�l�常使用它，或者至��不会很好地使用它�?/p>
��定不关心哪些问题�ƈ从编译中排除它们。也可以挑出 ��实��x��的一��部分检��器�q�只�q�行它们。另一�U�选择是从个别的类中排除一�l�检��器�Q�但是其他的�c�M��排除。FindBugs 提供了��用过滤器的极大灵�z�L��，�q�可帮助生成对团队有意义的结果，由此我们�q�入下一节�?

��定�?FindBugs 的结果做什�?/span>

�? 能看来很昄��Q�但是�?zh��n)�想不到我参与的团队中有多��加入了�c�M�� FindBugs �q�样的工兯��没有真正利用它。让我们更深入地探讨�q�个问题——用�l�果做什么？明确回答�q�个问题是困隄��Q�因��与团队的�l�织方式、如何处理代码所有权问题 �{�有很大关系。不�q�，下面是一些指��|��

可以考虑��?FindBugs �l�果加入到源代码��理�Q�SCM�Q�系�l�中。一般的�l�验做法是不��编译工�Ӟ��artifact�Q�放�?SCM �pȝ��中。不�q�，在这�U�特定情况下�Q�打破这个规则可能是正确的，因�ؓ它��(zh��n)�可以监视代码质量随旉��的变化�?

可以选择��?XML �l�果转换为可以发送到团队的网站上�?HTML 报告。�{换可以用 XSL 样式表或者脚本实现。有关例子请查看 FindBugs �|�站或者邮件列表（请参�? 参考资�?/a>�Q��?

�?FindBugs �q�样的工具通常会成为用于敲打团队或者个人的政治武器。尽量抵制这�U�做法或者不让它发生——记住，它只是一个工��P��它可以帮助改�q�代码的质量。有了这�U�思想�Q�在下一部分中，我将展示如何�~�写自定义缺��h��器�?/li>

回页�?/strong>

�l�束�?/span>

�? 鼓励读者对自己的代码试用静态分析工��P��不管�?FindBugs、PMD �q�是其他的。它们是有用的工��P��可以扑և�真正的问题，�?FindBugs 是在消除误检斚w��做得最好的工具。此外，它的可插入结构提供了�~�写有�h(hu��n)值的、特定于应用�E�序的检��器的、有意思的��试框架。在本系列的 �W?2 部分中，我将展示如何�~�写自定义检��器以找出特定于应用�E�序的问题�?

参考资�?

�(zh��n)�可以参阅本文在 developerWorks 全球站点上的英文原文.

下蝲最新版本的 FindBugs�?

FindBugs �|�站提供了完整的 �~�陷清单及说�?/a>�?

阅读有关 Visitor 模式的更多信息�?

�q�里有关�? 字节码设计库�Q�Code Engineering Library�Q?/a>的更多信息�?

可以在论�?#8220; Finding Bugs is Easy”及其源代码中扑ֈ�更多关于 FindBugs 的细节�?

PMD是另一个强大的开放源代码静态代码分析工��P��它可以让�(zh��n)�编写自定义规则。它不像 FindBugs 那么强大�Q�因为它分析 Java 文�g而不是类文�g�Q�但是仍然值得了解�?

两位作者试图描�q�避�?FindBugs 可以��到的那些问题的一�l�最�?j��ng)_��践：Joshua Bloch �? Effective Java: Programming Language Guide �Q�Addison-Wesley�Q?001 �q�_��?Peter Haggar �? Practical Java: Programming Language Guide �Q�Addison-Wesley�Q?000 �q�_��?

�?#8220; The future of software development” ( developerWorks�Q?003 �q?6 月）中，Eric Allen 讨论了��Y件开发中的一些趋势，�q��a�未来几年它们的方向。请查看 Eric �? Diagnosing Java code columns的其他内容以了解常见的缺��h��式�?

Mark Roulo 在其文章“ Complement testing with code inspections” �Q? developerWorks�Q?000 �q?3 月）中讨��Z��通过代码��查可以检��到的常见错误。其中一些错误也可由 FindBugs ��?

�? developerWorksJava 技术专�? 扑ֈ�数百��?Java 技术资料�? .

误��? Developer Bookstore�Q�获取技术书�c�的完整清单�Q�包括数百本 Java 相关主题的书�c��?

关于作�?/span>

Chris Grindstaff 是在北加利福��g�� Research Triangle Park 工作�?IBM 高��软�g工程师。Chris �?7 岁时�~�写了他的第一个程序，当时他让��学老师认识�?#8220;键入”句子与手写它们一栯��力。Chris 目前参与了不同的开放源代码��目。他大量使用 Eclipse �q�编写了几个��行�?Eclipse 插�g�E�序�Q�可以在他的 �|�站扑ֈ��q�些插�g�E�序。可以通过 cgrinds@us.ibm.com或�? chris@gstaff.org�?Chrise 联系�?

二胡 2009-04-16 13:12 发表评论

欧美黄色网页,精品久久久久久亚洲精品,亚洲一区二区三区四区中文

�?FindBugs�Q�第 1 部分: 提高代码质量

FindBugs�Q�第 1 部分: 提高代码质量