`
zhb8015
  • 浏览: 374190 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
Group-logo
Spring Roo杂谈
浏览量:0
社区版块
存档分类
最新评论

findbugs vs fortify

阅读更多

findbugs 插件安装 :

http://blog.csdn.net/gaofuqi/article/details/22679609

效果不太好,直接在eclipse marketplace安装也可

 

具体应用对比 :

http://www.cnblogs.com/doit8791/archive/2012/10/22/2734730.html

讲解的比较细致

 

下面是工具的对比 :

http://www.cnblogs.com/astwish/articles/3700467.html

 

这次演示的是用Fortify SCA静态分析Java代码,和FindBugs不同的是Fortify SCA还可以静态分析C/C++,.NET和PL/SQL等代码。

一.Fortify SCA静态分析原理

  由于我不是写这个东东的人,并且接触这个工具时间也有限,所以对它的工作原理认知比较浅,很多是通过它的说明文档得来的。

  Fortify SCA静态分析分两个阶段:

  1.Translation:

    把各种语言的源代码转为一种统一的中间语言代码。

  2.Analysis:

    根据中间代码分析代码漏洞,并得出报告。

  Fortify有很多个语言转换器,但核心的静态分析引擎只有一套。

二.Fortify SCA的使用

  先看看Fortify SCA Demo 4.0.0的目录:

  

  这个是Fortify SCA Demo 4.0.0的目录,这里主要有两个文件:auditworkbench.cmd和sourceanalyzer.exe,auditworkbench.cmd是查看静态分析报告的工具,sourceanalyzer.exe是静态代码分析器。这里我们还看到了一个FindBugs的目录,这是因为这个版本的Fortify集成了此功能,你可以通过传参给sourceanalyzer.exe调用FindBugs(但我一般不这么做,可以直接使用FindBugs的话,为什么还要通过sourceanalyzer.exe调呢?)。

  开始扫描静态分析,首先CMD进入Java源代码目录,然后“H:\Fortify\sourceanalyzer.exe -classpath "**/*.jar" -f test.fpr .”,在当前目录得到结果报告test.fpr。

  用auditworkbench打开test.fpr,效果如下图:

  

  这里auditworkbench主要分4部分:

  1.左上(Issues):是警告分类,这里Fortify分了3了,严重程度由高至低分别是:hot,warning,info。下面是本次扫描的问题列表,双击即可定位问题代码。

  2.右上:源代码。双击问题列表即可自动定位代码。

  3.左下(analysis trace):问题处的Trace信息,告诉你问题出现在哪里文件第几行。

  4.右下(details):问题的详细说明,还有示范代码。

OK,现在看看其他地方,比如:menubar(Options)-->Show View-->Other,你会看到下图:

  

  这里我看到了一个很像eclipse管理插件的窗口,噢,难道.....OK,让我看看再找找Fortify的目录看看,找到了这个东西:

  

  这里发现Fortify SCA真的是一个Eclipse插件,不过当我兴冲冲地把这个插件放进myeclipse插件库并重启后,发现这个不能识别:<,好像还是差了点东西,这个以后研究。

  这个工具还有很多功能,但暂且先写这多。

三.Fortify SCA Demo 4.0.0与FindBugs(1.3.7.20081230)对比

  今天试着对同一份代码进行静态扫描,发现FindBugs找到的问题种类,数量都比Fortify SCA Demo 4.0.0多很多:

  FindBugs发现问题种类有:20多种

  Fortify SCA Demo 4.0.0发现问题种类:5种

  在分析发现问题后,发现了一个有趣现象,Fortify SCA Demo 4.0.0和FindBugs发现的BUG类型是完全不同,可以说是互补的!其中,FindBugs发现的问题相对比较重要!但FindBugs只是针对Java代码的静态分析器,而Fortify SCA则支持更多的语言,并且Fortify SCA对发现问题的解释相对比较清晰。

  导致这个问题的原因可能是:Fortify SCA Demo 4.0.0这个版本比较老,并且是试用版,规则库和静态分析引擎都不全......如果是最新的Fortify SCA商业版,应该是不错,8个分析不同类型问题的静态分析引擎,庞大的规则库.......可是俺这种穷人还没机会试:<

  对比两个Java静态分析工具,Fortify SCA Demo 4.0.0和FindBugs(1.3.7.20081230),使用FindBugs是不错的选择,它相对比较强些,但如果可以两个都用当然效果更好:>

四.Fortify SCA的Bug类型及解释说明

  虽然Fortify SCA对问题已经有比较清晰的说明,但是还是决定自己总结,这样会更加清晰。(相关问题解释说明稍后补上)

分享到:
评论

相关推荐

    findbugs 1.3.9 findbugs 1.3.9

    findbugs 1.3.9 findbugs 1.3.9 findbugs 1.3.9 findbugs 1.3.9 findbugs 1.3.9 findbugs 1.3.9

    findbugs-annotations-1.3.9-1-API文档-中文版.zip

    赠送jar包:findbugs-annotations-1.3.9-1.jar; 赠送原API文档:findbugs-annotations-1.3.9-1-javadoc.jar; 赠送源代码:findbugs-annotations-1.3.9-1-sources.jar; 赠送Maven依赖信息文件:findbugs-...

    findbugs3.0.2插件 myeclipse

    FindBugs 是由马里兰大学提供的一款开源 Java静态代码分析工具。FindBugs通过检查类文件或 JAR文件,将字节码与一组缺陷模式进行对比从而发现代码缺陷,完成静态代码分析。FindBugs既提供可视化 UI 界面,同时...

    SonarQube的FindBugs插件sonar-findbugs-plugin.jar,包含FindBugs Security Audit等规则

    SonarQube的FindBugs插件sonar-findbugs-plugin.jar(版本:4.0.1-SNAPSHOT),包含FindBugs Security Audit等规则,可以离线集成到sonarqube。

    findbugs-2.0.1

    在这个由两部分组成的系列文章的第一部分中,高级软件工程师 Chris Grindstaff 分析了 FindBugs 如何帮助提高代码质量以及排除隐含的缺陷。代码质量工具的一个问题是它们容易为开发人员提供大量但并非真正问题的问题...

    findbugs压缩包+findbugs.jar+findbugs-ant.jar

    用于findbugs安装配置,及findbugs结果导出分析文档

    代码检测findbugs1.3.4

    插件安装时,我们只需在eclipse根目录下新建一个【links】目录,然后在里面创建【.link】扩展名的文件,在里面写上类似于【path=F:\\IDE\\eclipsePlugin\\findbugs\\findbugs1.3.4】这样的配置信息,不就可以统一...

    findbugs.jar包

    findbugs.jar开发findbugs自定义插件

    findbugs-3.0.1.ta

    FindBugs是一个匹配编译代码模式,而非使用bug数据库的工具。当提供源代码时,FindBugs还可高亮显示检测出bug的代码行。 在它的3.0.1版本中,FindBugs继续保持着数以百计的bug描述。根据bug的严重程度,FindBugs将...

    findbugs最新源代码20081008版本的

    findbugs源代码 有喜欢研究的下载吧

    findbugs.jar+findbugs-ant.jar

    eclipse安装findbugs后,需要导出html报告需要的两个jar包

    findbugs插件 myeclipse

    indBugs 是由马里兰大学提供的一款开源 Java静态代码分析...在安装成功后会在 eclipse中增加 FindBugs perspective,用户可以对指定 Java类或 JAR文件运行FindBugs,此时 FindBugs会遍历指定文件,进行静态代码分析。

    网络上搜集的Findbugs在Ant下的配置方法

    网络上搜集的Findbugs在Ant下的配置方法 坚决免费开放

    FindBugs插件-亲测可用

    解压后拿到FindBugs.zip插件,有Eclipse和IDEA的; 使用:IDEA为例--直接在idea---file--settings---plugins---Install plugin from disk 选中压缩包,点击apply--ok,重启idea即可。 使用:右击代码文件或项目,...

    findbugs-3.0.1.tar.gz

    FindBugs supports Java 8 now (both as runtime and target platform). FindBugs requires minimum Java 7 as runtime environment! FindBugs uses ASM 5 now which means that some 3rd party detectors based ...

    findbugs(3.01).zip

    FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定...

    findbugs最新版本 1.3.8

    findbugs最新版本 1.3.8 最新版本。

    findbugs-1.3.7.zip

    findbugs-1.3.7.zip,findbugs-1.3.7.zip,findbugs-1.3.7.zip

    FindBugs JSR305_3.0.2

    FindBugs, Find Bugs in Java Programs. FindBugs requires JRE (or JDK) 1.7.0 or later to run. However, it can analyze programs compiled for any version of Java, from 1.0 to 1.8.

    findbugs开源项目扩展

    findbugs是一个开源项目, 用于帮助开发人员及时发现代码中的bug,开发人员也可以更具需要自己扩展findbugs的detector来满足自己项目的需要。

Global site tag (gtag.js) - Google Analytics