FindBugs代码审查插件，apply plugin: 'findbugs'

apply plugin: 'findbugs'

一.什么是FindBugs?

     FindBugs 是一个静态分析工具，它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具，就可以在不实际运行程序的情况对软件进行分析。

二.FindBugs特性

    1.从一中的概念都是我从google和baidu搜索来的。从这些话我们可以看出: FindBugs只是在一个对你的文件编译后进行.class检查（不是源文件），那么如果你的程序在逻辑上有运行时错误的隐患，那FindBugs是找不到的。

   2.目前已包含300多条检测规则.所支持的bugs详情描述：http://findbugs.sourceforge.net/bugDescriptions.html

  3.bug的分类：正确性，典型错误，性能，安全等

  4.优先级： 重要，一般，次要

三.FindBugs检测举例

    1. 检测器：忽略方法返回值 
   这个检测器查找代码中忽略了不应该忽略的方法返回值的地方。这种情况的一个常见例子是在调用 String 方法时，如下： 
    

Java代码  

1.    public void  test1() {  
2.     String a = "bob";  
3.     <span style="color: #ff0000;">a.replace('b', 'p');</span>  
4.   
5.   
6.     if(a.equals("pop")){  
7.             
8.         System.out.println(a);  
9.            
10.      }  
11.   
12. }  

 这个错误很常见。在第三行红色代码，程序员认为他已经用 p 替换了字符串中的所有 b。确实是这样，但是他忘记了字符串是不可变的。所有这类方法都返回一个新字符串，而从来不会改变消息的接收者。  

使用findbugs检查后，出现的bug信息如下：

 很显然，告诉我们忽略了 String.replace(char, char) 的返回值。并且还要我们应该注意检查方法的返回值，最后还给了代码示例。

  2.检测器：初始化之前读取字段

   这个检测器寻找在构造函数中初始化之前被读取的字段

Java代码  

1. <span style="font-size: x-small;">                 private List actions;  
2.      public void Thing(String startingActions) {  
3.                   StringTokenizer tokenizer = new StringTokenizer(startingActions);  
4.                   while (tokenizer.hasMoreTokens()) {  
5.                     <span style="color: #ff0000;">  actions.add(tokenizer.nextToken());</span>  
6.   
7.   
8.                   }     
9.                 
10.       }</span>  

  上面代码段中的红色代码会出现空指针异常，因为 List actions在使用之前，从来没有被初始化过。

   使用findbugs检查后，出现的bug信息如下：

  3. 检测器：Null 指针对 null 的dereference和冗余比较

     这个检测器查找两类问题。它查找代码路径将会或者可能造成 null 指针异常的情况，它还查找对 null 的冗余比较的情况。例如，如果两个比较值都为 null，那么它们就是冗余的并可能表明代码错误。FindBugs 在可以确定一个值为 null 而另一个值不为 null 时，检测类似的错误.如下列代码：

Java代码  

1. public void  test2(Map<String,Persion> map ){  
2.      Persion person = map.get("bob");  
3.       if (person != null) {  
4.          System.out.println(person);  
5.        }  
6.       <span style="color: #ff0000;"> String name = person.getName();</span>  
7.   
8.   
9.        
10.        
11.  }  

   在这个例子中，如果第 2 行的 Map 不包括一个名为“bob”的人，那么在第 6 行询问 person 的名字时就会出现 null 指针异常。因为 FindBugs 不知道 map 是否包含“bob”，所以它将第 6 行标记为可能 null 指针异常。

使用findbugs检查后，出现的bug信息如下：

四.findbugs的使用

  1.在eclipse中使用

     1）安装插件：Install New Software-->update site :http://findbugs.cs.umd.edu/eclipse/,安装eclipse插件

     2）运行findbugs：在“Package Explorer”或“Navigater”里，右键点击项目（也可包名、类名）名称，选择“Find  bugs”-“FindBugs”开始运行

     3）查看结果：运行完成后在FindBugs视图可以跟踪到具体的代码，并给问题代码打上红色或者黄色虫子标识，在Properties窗口里是问题的详细描述及建议方案，一目了然。

  4）规则设置：在Preferences里可以对FindBugs规则等进行详细设置，从庞大的代码中过滤掉那些不重要的缺陷。

  2.findbugs与maven集成:

     1) 在pom.xml里加入：

Java代码  

1.  <reporting>  
2.     <plugins>  
3.         <plugin>  
4.             <groupId>org.codehaus.mojo</groupId>  
5.             <artifactId>findbugs-maven-plugin</artifactId>  
6.             <version>2.0.1</version>  
7.         </plugin>  
8.     </plugins>  
9. </reporting>   

   2）运行mvn site生成的报告位置在:target\site\findbugs.html。更多maven集成用法参见：

        http://mojo.codehaus.org/findbugs-maven-plugin/2.0.1/usage.html

参考资料：

• 下载 最新版本的 FindBugs 。 
  
  
• FindBugs 网站提供了完整的 缺陷清单及说明 。 
  
  
• 阅读有关 Visitor 模式 的更多信息。 
  
  
• 这里有关于 字节码设计库（Code Engineering Library） 的更多信息。
• PMD 是另一个强大的开放源代码静态代码分析工具，它可以让您编写自定义规则。它不像 FindBugs 那么强大，因为它分析 Java 文件而不是类文件，但是仍然值得了解。 
  
  
• 两位作者试图描述避免 FindBugs 可以检测到的那些问题的一组最佳实践：Joshua Bloch 的 Effective Java: Programming Language Guide （Addison-Wesley，2001 年）和 Peter Haggar 的 Practical Java: Programming Language Guide （Addison-Wesley，2000 年）。 
  
  
• 在“ The future of software development ” ( developerWorks ，2003 年 6 月）中，Eric Allen 讨论了软件开发中的一些趋势，并预言未来几年它们的方向。请查看 Eric 的 Diagnosing Java code columns 的其他内容以了解常见的缺陷模式。 
  
  
• Mark Roulo 在其文章“ Complement testing with code inspections ” （ developerWorks ，2000 年 3 月）中讨论了通过代码检查可以检测到的常见错误。其中一些错误也可由 FindBugs 检测。 
  
  
• 在 developerWorks Java 技术专区 找到数百篇 Java 技术资料。 .