checkstyle配置的官方网站:http://checkstyle.sourceforge.net/config.html (1)新建maven项目,配置checkstyle插件 pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="ht

0.前言 PMD作为开源的静态代码扫描工具有很强的扩展能力,可使用java或xpath定制rule.第一篇从操作上讲解如何定制一个用于扫描xml是否规范的规则.首先我们知道xml格式的文件在java工程里往往用于配置文件,像web的ssm框架里的applicationContext.xml或者是sqlMapConfig.xml等等.在安卓工程里同样会使用xml,本文主要以安卓的配置清单--AndroidManifest.xml做基础来讲解. 1.准备 知识准备:http://www.w3scho

使用OClint进行iOS项目的静态代码扫描 原文链接:http://blog.yourtion.com/static-code-analysis-ios-using-oclint.html 最近需要一个静态分析代码工具,帮助我们发布运行应用前找到代码潜在的问题. 其实对于iOS开发,我们的日常开发上已经用到了这样一个静态分析的工具,那就是 Clang, Clang 是支持C.C++.Objective-C 和 Swift 的一个前端编译工具,他将 OC 或者 Swift 的代码输出抽象语法树(

Lint和FindBugs一样,都是静态代码扫描工具,区别在于它是Android SDK提供的,会检查Android项目源文件的正确性.安全性.性能.可用性等潜在的bug并优化改进. 下图简单地描述了Lint工具的原理. 在Eclipse中右键工程,在出现的菜单中选择Android Tools中的Run Lint,即可执行Lint测试.结果如图所示. Lint也可以通过命令行的方式对工程进行测试,并同时产生测试报告.在终端中输入: lint apidemos --html apitest.htm

一.SonarQube静态代码扫描平台 1.1 安装 https://www.sonarqube.org/官网 1.2 下载软件包 https://www.sonarqube.org/downloads/ [root@sonar-server ~]# mkdir /usr/local/sonarc [root@sonar-server ~]# cd /usr/local/sonarc [root@sonar-server sonarc]# wget https://binaries.sonars

一.静态代码分析         静态代码分析是一种通过检查代码而不是执行程序来发现源代码中错误的手段.通常可以帮助我们发现常见的编码错误,例如: 语法错误 违反制定的标准编码 未定义的变量 安全性问题 静态代码分析可以通过评估编写的代码来提高代码质量:可以稳定的运行且可以轻松自动化:增加了在源代码中发现漏洞的可能性,从而提高应用安全:由于是针对源码扫描可以在离线的开发环境中完成.但是静态代码分析并不能完全保证编写的代码没有Bug,它也有一些缺点,例如: 误报问题,发现了一个不是错误的错误. 静

一.前言 通过前面三篇文章已经初步实现了将Lua源代码文件读取解析成语法树,现在就可以通过得到的语法树进行指定规则的代码扫描检查.下图简单列举了一下单个Lua文件内部的语法关系情况(注意并非真正的类图,也没有列举完全部的节点类型). 二.变量作用域 1 function main() 2 local value = g_total + 1 3 print("value:", value) 4 end 上面的简单代码里有一个g_total的全局变量,它可能来自前面代码块的定义,也有可能来

一.语法分析 通过将词法分析获取的Token流按照目标语言的语法进行解析的过程,例如解析函数声明.函数调用.变量声明.各种语句等. 二.Lua语法分析 在写语法分析程序前,先需要了解Lua的语句和语法,然后进行逐个解析. 下面简单列举一下Lua的语句:     1. 函数定义 1 -- 普通的函数声明 2 function demo1() 3 -- <函数体> 4 end 5 -- 类方法 6 function t.demo2(self) 7 -- <函数体> 8 end 9 --

问题: maven 打包时,有的文件打不进去target 解决: 因为maven打包默认打Java文件.在项目中的pom文件中加build标签 <build> <resources> <resource> <directory>src/main/java</directory> <includes> <include>**/*.properties</include> <include>**/*.x

OClint是针对C, C++及Objective C代码的静态扫描分析工具,而SonarQube是一个开源的代码质量管理平台.本文将实现将OClint的扫描结果导入到SonarQube中,已实现对Objective C代码质量的管理. 操作系统: Mac OS X 10.9 所需工具: SonarQube : sonarqube-4.4 - http://www.sonarqube.org/downloads/ Sonar Runner : sonar-runner-dist-2.4 - ht

前言 2017年2月9日,首次公布<阿里巴巴Java开发手册>; 2017年9月25日,阿里巴巴集团发布了<阿里巴巴Java开发手册>PDF终极版; 2017年10月14日,在2017杭州云栖大会上,规约插件全球首发. 阿里巴巴发布java开发手册对JAVA研发是一大福音,最近推出了IDEA的代码检查插件更是一神兵利器. 开发手册从意识上统一了研发团队代码风格,规范插件则是从行动上强制规范落地. 对测试来说也是非常有力的工具,代码走读需要一定代码基础,有门槛, 但规范可以通过工具扫

infer是Facebook 的 Infer 是一个静态分析工具.可以分析 Objective-C, Java 或者 C 代码,报告潜在的问题. 任何人都可以使用 infer 检测应用,可以将严重的 bug 扼杀在发布之前,同时防止应用崩溃和性能低下. infer 可以检查 Java 和 Android 中的 NullPointException 和资源泄漏. 除了以上,infer 还可以检测 iOS 和 C 代码的内存泄漏! 应用范围: 包括 Facebook Android 和 iOS 主客

一.词法分析 词法分析(英语:lexical analysis)是计算机科学中将字符序列转换为单词(Token)序列的过程.进行词法分析的程序或者函数叫作词法分析器(Lexical analyzer,简称Lexer),也叫扫描器(Scanner).词法分析器一般以函数的形式存在,供语法分析器调用. 二.Lua词法分析器 首先需要读取Lua文件中的内容,然后逐字符读取进行判断组合成一个一个的单词.判断单词就需要了解Lua语言中的数据类型,具体如下: 1. 变量标识符 单个字符 例如a = 1中的"

预置条件: Jdk已安装 Mysql已安装 1. 下载 SonarQube和Sonar scanner. SonarQube: http://www.sonarqube.org/downloads/ Sonar scanner: https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner 2. 数据库配置 #mysql -u root -p mysql> CREATE DATABASE sonar CHARAC

一.环境配置: 1.jdk安装及配置 2.MySQL数据库安装----直接调用服务器院端的MySQL数据库,在此基础上创建新的数据库sonar.  数据库的配置如下: 3.sonar官网下载sonarqube版本,选择的是5.6.3版本,官网说是长期支持,所以选的这个版本.注意sonarqube对应的sonar scanner版本号是2.8.也可以用sonar runner,其实runner跟scanner一样.  http://www.sonarqube.org/downloads/  下载s

参考网址: https://blog.csdn.net/oggboy/article/details/78646622

近期打算做一个插件化的白盒静态代码安全审计自动化平台和黑盒网站安全审计自动化平台.现在开源或半开源做黑盒网站安全扫描的平台,大多是基于python脚本,安全人员贡献python脚本插件增强平台功能.对自己或身边开发人员,对java语言更熟悉,为了后期维护打算采用java写一个这样的平台.另外白盒代码安全扫描也有Fortify等收费软件,或依赖PMD做代码分析,不过比如新增了什么安全问题,需要自定义或扩展就比较麻烦. 比如一个简单的:现在用struts2存在漏洞,现在需要升级到2.3.28版本,于

sonar的作用 1.代码质量和安全扫描和分析平台. 2.多维度分析代码:代码量.安全隐患.编写规范隐患.重复度.复杂度.代码增量.测试覆盖率等. 3.支持25+编程语言的代码扫描口分析,包含java\python\C#\javascript\go\C++等. 4.涵盖了编程语言的静态扫描规则:代码编写规范+安全规范. 5.能够与代码编辑器.CI/CD平台完美集成. 6.能够与SCM集成,可以直接在平台上看到代码问题是由哪位开发人员提交. 7.帮助程序猿写出更干净.更安全的代码. sonar的组

最近项目开发,发现springBoot项目在使用maven打包时,我们静态资源文件都放在resource目录下面,大致如下: 在使用maven打包时,发现静态资源没有打进去.原来springBoot默认静态资源路径的时resources. 那解决静态资源文件使用maven打包问题的解决方案就有两种了: 1.将静态资源文件夹名从resource改为resources 2.在工程pom.xml中加入resource目录配置,手动去指定.我们习惯使用resource目录,所以使用了手动指定 <buil

今天尝试了一下在eclipse里面写Groovy代码,并且做到和Java代码相互调用,折腾了一下把过程记录下来. 首先需要给eclipse安装一下Groovy的插件,插件地址:https://github.com/groovy/groovy-eclipse/wiki . 安装完插件以后,就可以创建Groovy Project和Groovy Class等. 创建一个Maven工程,最简单的那种:maven-archetype-quickstart maven工程的java代码一般是这么放的src/

今天尝试了一下在IntelliJ IDEA里面写Scala代码,并且做到和Java代码相互调用,折腾了一下把过程记录下来. 首先需要给IntelliJ IDEA安装一下Scala的插件,在IDEA的启动界面点击 Configure -> Plugins,然后搜索Scala,点击 Install 即可,安装完插件以后,就可以创建Scala Project和Scala Class等. 安装Scala SDK:第一次用IDEA创建Scala Project的时候会提示你安装Scala SDK,它里面可