java代码分析及分析工具

一个项目从搭建开始，开发的初期往往思路比较清晰，代码也比较清晰。随着时间的推移，业务越来越复杂。代码也就面临着耦合，冗余，甚至杂乱，到最后谁都不敢碰。

作为一个互联网电子商务网站的业务支撑系统，业务复杂不言而喻。从09年开始一直沿用到现在，中间代码经过了多少人的手，留下了多少的坑，已经记不清楚了，谁也说不清了。

代码的维护成本越来越高。代码已经急需做调整和改善。最近项目组专门设立了一个小组，利用业余时间做代码分析的工作，目标对核心代码进行分析并进行设计重构。

　　代码分析如果用人工来做，需要两点：1、开发人员代码造诣要求很高。2、开发人员投入时间成本非常大。

然而现在网络上 Java代码分析工具做的比较好。所以考虑开始利用这些工具对代码进行分析，并做修改。当然最好在最后有个资深人士做相关的review或开发人员自检。

先考虑工具吧，工欲善其事，必先利其器。所以决定search一下，代码分析和代码分析的工具，便于更好的利用和进行。

　　学习一下并做一些归纳：

      提到静态代码的概念：个人理解为 不需要运行起来的代码所关注的点。就是就代码看代码，语法、结构、接口、类等。

　　　　整个软件开发生命周期中，网上说30% 至 70% （占有量还是很大的）的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。看来效果还是很明显的。

　　静态代码分析的好处，的确有很多好处：

　　　　1. 帮助程序开发人员自动执行静态代码分析，快速定位代码隐藏错误和缺陷。

　　　　2. 帮助代码设计人员更专注于分析和解决代码设计缺陷。

　　　　3. 显著减少在代码逐行检查上花费的时间，提高软件可靠性并节省软件开发和测试成本

概念不多提了，看工具：

1、findbugs：

　　安装：http://sourceforge.net/projects/findbugs/

　　看使用体验：针对一个项目启动findbugs，会进入findbugs的工作视图

 

 如上图

　　蓝色区域：罗列出了findbugs在代码中检测到的代码问题。同样的红色为严重的，黄色为警告。

　　　　　　　由于自己写的学习项目所以代码不庞大，质量也还行，所以检测出来的都是黄色警告的。

　　紫色区域：点击对应的检测点，能定位到问题代码具体的位置，并且在左边有个bug虫子给出具体问题的信息

　　绿色区域：对应左边蓝色区域的检测点，给出的详细描述和建议。

     个人觉得findbugs对于代码检测的深度力度要更好。比如，子类名和父类名相同，死存储（没有调用却开辟空间的），一个方法没有对参数对象验证空等等。

　　对代码的质量检查做的很到位。而且很清晰。当然findbugs 也有自定义的设置，个人觉得现有功能已经很好用了，不需要自定义。

2、Checkstyle ：

　　　　安装：http://sourceforge.net/projects/eclipse-cs/files/latest/download下载插件，links plugin的方式安装到eclipse中

　　　　重点看使用体验：针对一个项目启动checkStyle之后

 

　　　　

　　　　　　刚检测完，项目所有类都泛黄，甚至有的类打上了小红叉。静心仔细的看下：

　　　　　　提示有：public修饰符多余，一行超过80个字符，缺少文档注释，魔法数字等等等等。出现中文代码的地方会直接打红叉。非常精细。

　　　　　　蓝色区域：包括Errors和warnings。Errors重点列出了代码中的问题，比如代码中有中文等等，Warnings：一般是代码风格不好的地方。比如代码

　　　　　　              最后一行加注释算是不好的风格

　　　　　　紫色区域：发现用于特定的注释分割，很多注释都有问题，和eclipse自动格式化有冲突，我觉得可以是忽略的。左边的小放大镜有详细的不规范信息。

　　　　个人觉得检查的精度还是很细的，但是对于注解等的检测过于精细，很扰乱视眼。Errors级别就可以了。和eclipse的格式化有很多的冲突。导致很多也是不必要的检验。

　　　　当然，也是可以自定义设置检测项，如下：

 

　　　　

　　这样可以把注释的或者和日常格式化有问题的检查撤销掉。主要检查代码的问题。不过说实话这个设置起来还是很麻烦的，我觉得还不如将就着看所有的提示　　　　

　　信息。不需要改的就人为忽略吧。重点关注Errors。从中看出，这款其实主要侧重的还是代码的风格的检测。

3、PMD

　　下载安装：http://sourceforge.net/projects/pmd/files/pmd-eclipse

　　安装完成，针对一个项目启用PMD检测，进入pmd工作视图

　　如上图：

　　　　蓝色区域：是汇总的有问题的代码，pmd将代码分析完之后的级别划分的更细致了，就是5个小圈对应：error high, error, warning high, warning,infomation。

　　　　绿色区域：定位，并且给出问题描述。

      这款代码检测软件应该说是和findbugs是属于一种类型的。在我检测的代码中，被pmd标记最多的是代码中有system.out.println() ，的确在正式项目中不应出现这种语句。

　　同样方法的大小写是否符合规范也会检查出来。在代码检测中也更多的关注error high,error。

　　　　另一方面pmd插件有20M大小，说明他的检测会很细致，也很广泛。

总结

对于工具的探索就到这，因为我觉得这三款工具对于现在项目的检测力度已经够用了。而jtest由于是商业非开源产品，就不去下载破解版验证了。

　　现在对以上工具进行一下总结：

　　　　findbugs：非常好用的一款代码检测工具，检测的深度比较深，对代码中渗透的性能，内存的使用释放有很好的检测。能检测出可能导致错误的代码，如空指针引用等等。

　　　　　　　　　　我觉得这款检测工具应该是首选必备的。

　　　　checkstyle：顾名思义，他就是一款检测代码风格样式的工具，对ccs都会有检测，可以用以辅助提高开发过程中的代码风格。缺点很多检测过于细致和格式化冲突，

　　　　　　　　　　比如注释都会高亮显示，很扰乱视线，所以使用时候组号可以做自定义的风格规范。对代码的bug发现力度较弱。

　　　　PMD：20M大小，说明他的检测非常的广，在我看来的确也是，system.out.println 也会做为error提示。一些命名的检测等。的确并不是代码的bug，

　　　　　　　　　　而是项目中代码的规范检测。深度没有findbugs深，在使用findbugs的情况下，可以配合pmd来检测一些不规范的代码。

　能通过以上这三款软件的检测，并加上业务代码的review。相信代码的质量级别应该是很高了，相信也能很好的满足日常的开发和后期的维护了。