【千奇百怪】java自定义spotbugs检测器

前两天，在对一个代码质量检测平台维护的时候，遇到了一个新添加指定规则集的需求，在经过一番折腾后否定掉了基于 ANTLR 实现自定义规则；基于 CheckStyle 实现自定义规则；基于 PMD 实现自定义。最后确定前几个静态扫描工具完成不了这个任务，调研后找到了基于findbugs的class文件扫描工具-- spotbugs

系列文章目录

【java自定义spotbugs检测器】
【PHP代码质检工具PHPCS分析介绍与使用】

内容预警

系列文章目录
一、什么是SpotBugs
二、自定义规则
三、校验并使用

一、什么是SpotBugs

SpotBugs是Findbugs的继任者（Findbugs已经不再维护），用于对Java代码进行静态分析，查找相关的漏洞，SpotBugs比Findbugs拥有更多的校验规则。静态分析会检查Java字节码（.class文件）是否存在错误模式（错误模式是一种经常容易出错的代码表达式/习惯用法，其中主要包括：错误使用编程语言的某些特性、误用的API方法、在维护期间修改代码时误解变量、错别字，使用错误的运算符）注： SpotBugs 需要当前的JDK环境为 1.8以上，但可以对1.0~1.9的代码来进行检查。SpotBugs是对.class文件进行扫描的，所以工程必须成功完成编译并生成.class文件。可以通过如下方式使用Spotbugs：

? Ant

? Maven

? Gradle

? Eclipse

SpotBugs是可扩展的，可以通过插件添加新的检测器

二、自定义规则

1.安装
前往下载https://github.com/spotbugs/spotbugs/releases/tag/4.7.1
本地解压即可使用，更详细的配置可以根据官方文档进行。
2.解压后spotbugs-4.7.1/bin/spotbugs 即为启动命令
3.确认maven与jdk完善后，使用maven命令创建自定义检测器项目

mvn archetype:generate \
      -DarchetypeArtifactId=spotbugs-archetype \
      -DarchetypeGroupId=com.github.spotbugs \
      -DarchetypeVersion=0.2.3

注意，这里与官方不一样的地方在于version，官方文档的0.2.4有一些问题，会无法完整创建。
在这里插入图片描述
成功使用命令后会让你依次输入你的项目的groupid，artifacid，version，package。

DgourpId: 组织名，公司网址的反写 + 项目名称
DartifactId: 项目名-模块名
DarchetypeArtifactId: 指定 ArchetypeId，maven-archetype-quickstart，创建一个简单的 Java 应用

4.创建完成使用idea打开项目，加载完成是下图这样的目录结构
在这里插入图片描述
可能缺少findbugsplugin与messagecollection两个.xsd文件，打开官方的源码搬一份
5.安装jaclass插件
spotbugs是对class文件进行处理，这其中涉及到java的字节码与助记符，详细知识点可以自行百度。这里可以简单理解为，java文件编译为二进制文件后，通过助记符可以将其每一个编译命令展示出来，也就可以追溯到每一个方法每一个类，因此我们可以根据字节码去校验规则。
在这里插入图片描述
安装完成后，在测试文件中写出需要检测出的错误类别和正确类别，在view中找到jclass…选项

在这里插入图片描述
点击之后就会在右侧栏出现下图页面，关于更详细的使用点击这里或者自行搜索，我们只需要知道，在方法下的main中的code就是我们的主要内容

通过分析可以找到例子的目标函数，future函数，正确与错误是看get调用时是否有延时参数，两处调用很明显是没有参数时缺少JLjava/util/concurrent/TimeUnit;
在这里插入图片描述

5.根据需求编写规则检测
根据观测结果我们就可以编写相应的规则

import org.apache.bcel.Const;

import edu.umd.cs.findbugs.BugInstance;
import edu.umd.cs.findbugs.BugReporter;
import edu.umd.cs.findbugs.bcel.OpcodeStackDetector;

public class MyDetector extends OpcodeStackDetector {
    private final BugReporter bugReporter;

    public MyDetector(BugReporter bugReporter) {
        this.bugReporter = bugReporter;
    }

    @Override
    public void sawOpcode( int seen) {
        //检测调用指令，future调用处的指令
        if (seen == Const.INVOKEINTERFACE) {
            //getNameConstantOperand 方法获取被调用方法的名称 ,getClassConstantOperand获取调用类名称的方法
            //检测调用对象以及方法
            if ("java/util/concurrent/Future".equals(getClassConstantOperand())
                    && ("get".equals(getNameConstantOperand()))) {
                //getSigConstantOperand 方法的意思是获取方法的所有参数
                if ( !this.getSigConstantOperand().equals("(JLjava/util/concurrent/TimeUnit;)Ljava/lang/Object;")
                ) {
                    bugReporter.reportBug(new BugInstance(this, "JAVA_FUTURE_CALL_TYPE", HIGH_PRIORITY)
                            .addClassAndMethod(this).addSourceLine(this));
                }
                }
        }

        }
}

该类的实现是继承 OpcodeStackDetector 类，是 FindBugs 中的一个抽象类，封装了方法调用来获取代码具体参数 .sawOpcode 方法参数可以理解为要检测的代码行的行号，采用 printOpCode(seen)可以打印这行代码的详细信息 .Constants.INVOKEVIRTUAL 表示该行调用了类的实例方法 ,Constants.INVOKESTATIC 表示调用类的静态方法 .getNameConstantOperand 方法获取被调用方法的名称 ,getClassConstantOperand获取调用类名称的方法，getSigConstantOperand 方法的意思是获取方法的所有参数 .bugReporter.reportBug 用来上报检测到的漏洞信息，其中BugInstance的三个参数分别代表：detector、Hole type、Vulnerability level，漏洞级别分为五个级别，如下表所示：

name Parameters meaning
HIGH_PRIORITY 1 High risk
NORMAL_PRIORITY 2 Medium risk
LOW_PRIORITY 3 Low risk
EXP_PRIORITY 4 Safety alert
IGNORE_PRIORITY 5 Negligible risk

addClass、addMethod、addSourceLine 用于指定漏洞所在的类、方法、即可，便于在报告漏洞时定位关键代码。

6.更新 findbugs.xml
SpotBugs 读取findbugs.xml每个插件以查找检测器和错误。因此，当添加新检测器时，需要添加新元素，如下所示：

<Detector class="com.github.plugin.MyDetector" reports="MY_BUG" speed="fast" />

还需要添加, 来描述错误模式的类型和类别。

<BugPattern type="MY_BUG" category="CORRECTNESS" />

可以findbugs.xml在src/main/resources生成的 Maven 项目的目录中找到。

7.更新messages.xml
SpotBugs 读取messages.xml每个插件以构建人可读的消息以报告检测到的错误。它还支持读取本地化消息messages_ja.xml，messages_fr.xml等等。

可以messages.xml在src/main/resources生成的 Maven 项目的目录中找到。

检测器更新信息
在元素中，可以添加检测器的描述消息。请注意，它应该是纯文本，不支持 HTML。

<Detector class="com.github.plugin.MyDetector">
  <Details>
    Original detector to detect MY_BUG bug pattern.
  </Details>
</Detector>

因为我不是搞java的使用没有很多能解释的地方，有需求的同学自己查找资料，会java的应该都能比我写的更好。

详细参数文档：https://spotbugs.readthedocs.io/en/latest/running.html
插件定义文档：
https://spotbugs.readthedocs.io/en/latest/implement-plugin.html

三、校验并使用

我们在编写好文件后，使用maven将自定义规则打包成jar包，并在测试文件处使用检测效果。
1、首先idea下载插件spotbugs 在这里插入图片描述
安装后在tools里找到它，点击plugins处的+号，选择4并将我们导出的jar文件添加。
然后右键使用即可

当发现我们自定义的规则能够满足需要，在检测中可以起到作用，我们就可以使用了

我们下载的spots源码支持
命令行或者专有的 GUI 工具运行
Eclipse 插件
Maven、Gradle 插件
SonarQube 插件
等方式运行。

将我们自定义的插件放入源码的plugin文件夹下就会默认启用

/Users/Downloads/spotbugs-4.5.0/bin/spotbugs -textui -xml:withMessages=out.xml -quiet -include filter.xml /Users/JAVA/pmd_dir/test/out/production/test

所使用的参数的含义分别是：
-textui 在命令行执行（否则SpotBugs会以GUI的方式运行）
-low 返回所有问题（默认是只返回等级为medium和high的问题）
-xml:withMessages=out.xml 结果输出格式为xml，输出到到当前目录的out.xml中，并且附加上问题的描述信息
-include filter.xml 只报告满足filter.xml中限制的问题
Users/JAVA/pmd_dir/test/out/production/test 为要扫描的代码库目录

其中，filter的详细配置可见此链接，为了可以灵活执行要扫描的规则，我们的使用方法为

<?xml version="1.0" encoding="UTF-8"?>
  <FindBugsFilter
            
  <Match>
    <Bug pattern="DMI_HARDCODED_ABSOLUTE_FILENAME" />
  </Match>
 
  <Match>
    <Bug pattern="NP_NULL_ON_SOME_PATH_FROM_RETURN_VALUE" />
  </Match>
 
 
</FindBugsFilter>

在以上filter.xml的例子中，每个Match代表一条规则/问题

本文链接：https://blog.csdn.net/qq_45725675/article/details/126363665

智能推荐

新发的日常小实验——使用IETester测试不同IE版本的浏览器，测试网页JS的兼容性（console未定义兼容测试）

文章目录一、痛点：IE兼容测试二、关于IETester 三、IETester下载四、写个html测试js的console接口五、测试结果六、js兼容处理一、痛点：IE兼容测试之前使用.Net的Winform桌面应用框架做了一个PC版的迷你浏览器（使用IE内核），方便拉起网页支付。有用户反馈打开支付页面报了如下的错：“console”未定义到底是多么老旧的I...

linux下搭建nginx及配置

文章目录下载nginx 解压nginx资源包准备编译环境安装编译查找安装路径并启动nginx 浏览器访问下载nginx 下载地址：https://nginx.org/en/download.html 这里用的是nginx-1.16.1版本解压nginx资源包准备编译环境安装编译查找安装路径并启动nginx 浏览器访问 http://IP...

腾讯云+tipask快速搭建基于laravel的CMS网站

一、购买腾讯云服务器，服务市场->基础环境->选择WordPress平台镜像二、按照tipask教程安装 tipask官方教程地址https://wenda.tipask.com/article/22 官方教程对新手不太友好，我整理如下： 1.ftp上传文件云服务器镜像装载完毕后，浏览器访问服务器公网ip，点击获取权限后会下载服务器相关的文件浏览器访问host url，根据所给的...

ElasticSearch入门教程

什么是ElasticSearch 基于Apache Lucene构建的开源搜索引擎采用Java编写,提供简单易用的RESTFul API 轻松的横向扩展，可支持BP级的结构化和非结构化的数据处理可应用场景海量数据分析引擎站内搜索引擎数据仓库一线公司实际应用场景英国卫报 - 实时分析公众对文章的回应维基百科、GitHub-站内实时搜索百度 - 实时日志监控平台安装 Windows...

小程序明明已经分包了，为啥没有大小没有变？？？

为什么要分包真机预览时出现大于2M，无法预览。对项目进行规整划分如何分包实际操作先将需要分包的文件拷贝到小程序根目录下在app.json中配置分包结构(如图) 修改被分包中的引用路径，如图片资源、导航URL 可以设置分包的在哪个页面加载图中表示在进入login页面进行下载设置的分包，all表示在所有网络下。失败解决！分包了为啥还是提示大小超过2M 分包的文件内所引用的外部文件也必须...