189 8069 5689

java静态代码分析工具 python静态代码分析工具

最受欢迎的软件安全性测试工具有哪些?

之前在做 国内软件测试现状调查 之时,因为安全性测试工具太多,结果显示其分布比较广,填写“其它”占的比重很高(66%),为此专门做了一个调查 ,虽然收集的有效反馈不多(不到100),但基本反映了测试工具的使用现状。

创新互联建站主要从事做网站、成都网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务张店,十多年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575

1. 从总体看,(静态的)代码分析工具和(动态的)渗透测试工具应用还是比较普遍 ,超过60%,而且渗透测试工具(73.68%)略显优势,高出10%。模糊测试工具,可能大家感觉陌生,低至16%,但它在安全性、可靠性测试中还是能发挥作用的。从理论上看,代码分析工具应该能达到95%以上,因为它易用,且安全性已经是许多公司的红线,得到足够重视。 希望以后各个公司能够加强代码分析工具和模糊测试工具的应用。

2. Java代码安全性分析工具前三名是 : IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%) ,而JTest、PMD等没进入前三名,虽然和第3名差距不大,只有5%左右。也有公司使用Checkmarx,不在此调查中。Coverity也支持Java,可能Java的开源工具较多,人们很少用它。

3. C/C++代码安全性分析工具前三名是 : C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%) 。Coverity、CppCheck、LDRA Testbed 没能进入前三名,可能LDRA Testbed比较贵,关键的嵌入式软件采用比较多,而Coverity Cloud针对Github等上面的代码有免费服务(),大家可以尝试应用。

4. JavaScript代码安全性分析工具应用最多的是 Google's Closure Compiler,其次是JSHint,也有的公司用Coverity来进行JS的代码分析。

5. Python代码安全性分析工具应用最多的是Pychecker ,其次是PyCharm,而Pylint使用比较少,也有几个公司用Coverity来进行Python的代码分析。

6. Web应用安全性测试的商用工具中,IBM AppScan异军突起 ,高达70%的市场,其它商用工具无法与它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。

7. Web应用安全性测试的开源工具中,Firebug明显领先 ,将近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超过了20%。

8. Android App的安全性测试工具中,Android Tamer领先 ,将近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。也有用其它不在调查项中的工具,总体看,Android App安全性测试工具分布比较散。

9. 网络状态监控与分析工具中,Wireshark遥遥领先,超过70%。 其次就是Tcpdump、Burp Suite,占30%左右。网络状态监控与分析工具挺多的,但从这次调查看,越来越集中到几个工具中,特别是Wireshark功能强,覆盖的协议比较多,深受欢迎。

10. SQL注入测试工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX, 三者比较接近,差距在6%左右。其它两项工具Pangolin、SQLSqueal也占了10%,而Antonio Parata、Blind SQL Injections、Bsqlbf-v2、Multiple DBMS Sql Injection、Sqlninja几乎没什么人用。

安全性测试工具很多,还包括黑客常用的一些工具,如暴力破解口令工具、端口扫描工具、防火墙渗透工具、渗透测试平台等。从某种意义看,它们超出软件范畴,更多属于网络空间安全、密码学等范畴,在此就不展开了。概括起来最受欢迎的软件安全性测试工具有:

程序静态分析的著名的静态分析工具

Meta-Compilation(Coverity)

由Stanford大学的Dawson Engler副教授等研究开发,该静态分析工具允许用户使用一种称作metal的状态机语言编写自定义的时序规则,从而实现了静态分析工具的可扩展性。MC的实际效果非常优秀,号称在Linux内核中找出来数百个安全漏洞。MC目前已经商业化,属于Coverity Inc.2014年被Synopsys收购。目前学术领域比较认可的静态分析工具,其技术处于领先地位。

mygcc 由一个法国人N. Volanschi开发,其思想来源于MC,试图将自定义的错误检测集成到编译时。

Klocwork

国内用的最为广泛的静态分析工具,由加拿大北电于1996年研发,是中国最早的能够检测语义缺陷的静态分析工具。截止到2015年其版本号为V10,也就是大家常说的K10

LDRA Testbed

英国的编码规则类检测工具,前身为Liverpool大学开发,能够支持C/C++数千种条目的规则检测,包括MISRA C/C++, GJB5369等,是最早进入中国市场的静态分析工具,在军队、军工广泛使用,但其技术仅支持风格类检测,无法进行语义缺陷分析,导致一些常用的运行时缺陷无法发现或者较高误漏报,由此市场占有率逐步下降。截止到2015年其版本号为9.5

HP Fortify

美国HP公司的支持安全漏洞类的检测工具,能够检测C/C++/Java/PHP/ASP/JavaScript等多种语言,数千种检测项,是国内使用最为广泛的静态分析工具。但该工具整体的误报漏报率较高,虽然支持很多种安全漏洞,但需要用户做很多的二次开发工作。

Cobot(库博)

北京大学软件工程中心研发的静态分析工具,能够支持编码规则,语义缺陷的程序分析,能够支持C/C++数千条规则和缺陷的检测,是我国唯一可以称的上是静态分析产品的商业化工具。由于其自主知识产权,对国内的操作系统,编码标准支持的较好,检测精度也基本与上述工具持平,所以也得到了很多用户的认可。

Parasoft C++Test

美国Parasoft公司研发的支持C、C++静态分析的工具,该工具除了可以检测编码规则外,还能检测少量的语义缺陷,此外能够进行测试用例生成。

求用java写的java分析器(java parser)

开始用纯jdk,过一般时间用EditPlus等这样的工具,以后推荐使用Eclipse,因为是开源,也就是免费的。

JDK

Borland 的JBuilder

JBuilder,JDeveloper,VisualAge for Java

jcreater.

常见的十五种Java开发工具的特点

1、JDK (Java Development Kit)Java开发工具集

从初学者角度来看,采用JDK开发Java程序能够很快理解程序中各部分代码之间的关系,

有利于理解Java面向对象的设计思想。JDK的另一个显著特点是随着Java (J2EE、J2SE

以及J2ME)版本的升级而升级。但它的缺点也是非常明显的就是从事大规模企业级Java

应用开发非常困难,不能进行复杂的Java软件开发,也不利于团体协同开发。

2、Java Workshop

3、NetBeans 与Sun Java Studio 5

NetBeans是开放源码的Java集成开发环境(IDE),适用于各种客户机和Web应用。

Sun Java Studio是Sun公司最新发布的商用全功能Java IDE,支持Solaris、Linux和Win

dows平台,适于创建和部署2层Java Web应用和n层J2EE应用的企业开发人员使用。

NetBeans是业界第一款支持创新型Java开发的开放源码IDE。开发人员可以利用业界

强大的开发工具来构建桌面、Web或移动应用。同时,通过NetBeans和开放的API的模块

化结构,第三方能够非常轻松地扩展或集成NetBeans平台。

NetBeans3.5.1主要针对一般Java软件的开发者,而Java One Studio5则主要针对企

业做网络服务等应用的开发者。Sun不久还将推出Project Rave,其目标是帮助企业的开

发者进行软件开发。NetBeans 3.5.1版本与其他开发工具相比,最大区别在于不仅能够

开发各种台式机上的应用,而且可以用来开发网络服务方面的应用,可以开发基于J2ME

的移动设备上的应用等。在NetBeans 3.5.1基础上,Sun开发出了Java

One Studio5,为用户提供了一个更加先进的企业编程环境。在新的Java

One Studio5里有一个应用框架,开发者可以利用这些模块快速开发自己在网络服务方面

的各种应用程序。

4、Borland 的JBuilder

Jbuilder进入了Java集成开发环境的王国,它满足很多方面的应用,尤其是对于服

务器方以及EJB开发者们来说。下面简单介绍一下Jbuilder的特点:

1)Jbuilder支持最新的Java技术,包括Applets、JSP/Servlets、JavaBean以及EJB

(Enterprise JavaBeans)的应用。

2)用户可以自动地生成基于后端数据库表的EJB Java类,Jbuilder同时还简化了EJ

B的自动部署功能.此外它还支持CORBA,相应的向导程序有助于用户全面地管理IDL(分布

应用程序所必需的接口定义语言Interface Definition Language)和控制远程对象。

3)Jbuilder支持各种应用服务器。Jbuilder与Inprise Application Server紧密集

成,同时支持WebLogic Server,支持EJB 1.1和EJB 2.0,可以快速开发J2EE的电子商务

应用。

4)Jbuilder能用Servlet和JSP开发和调试动态Web 应用。

5)利用Jbuilder可创建(没有专有代码和标记)纯Java2应用。由于Jbuilder是用纯J

ava语言编写的,其代码不含任何专属代码和标记,它支持最新的Java标准。

6)Jbuilder拥有专业化的图形调试介面,支持远程调试和多线程调试,调试器支持

各种JDK版本,包括J2ME/J2SE/J2EE。

JBuilder环境开发程序方便,它是纯的Java 开发环境,适合企业的J2EE开发;缺点

是往往一开始人们难于把握整个程序各部分之间的关系,对机器的硬件要求较高,比较

吃内存,这时运行速度显得较慢。

5、Oracle 的JDeveloper

Oracle9i JDeveloper(定为9.0版,最新为10g)为构建具有J2EE功能,XML和Web

services的复杂的,多层的Java应用程序提供了一个完全集成的开发环境。它为运用Ora

cle9i数据库和应用服务器的开发人员提供特殊的功能和增强性能,除此以外,它也有资

格成为用于多种用途Java开发的一个强大的工具。

Oracle9i JDeveloper的主要特点如下:

① 具有UML(Unified Modeling Language,一体化建模语言)建模功能。可以将业

务对象及e-business应用模型化。

② 配备有高速Java调试器(Debuger)、内置Profiling工具、提高代码质量的工具

“CodeCoach”等。

③ 支持SOAP(Simple Object Access Protocol)“简单对象访问协议”、UDDI(U

niversal Description, Discovery and Integration)“统一描述、发现和集成协议”

、WSDL(Web Services Description Language)“WEB服务描述语言”等Web服务标准。

JDeveloper 不仅仅是很好的 Java 编程工具,而且是 Oracle Web 服务的延伸,支

持 Apache SOAP,以及 9iAS ,可扩充的环境和 XML 和 WSDL 语言紧密相关。Oracle9i

Jdeveloper完全利用Java编写,能够与以前的Oracle服务器软件以及其他厂商支持J2EE

的应用服务器产品相兼容,而且在设计时着重针对Oracle9i,能够无缝化跨平台之间的

应用开发,提供了业界第一个完整的、集成了J2EE和XML的开发环境,允许开发者快速开

发可以通过Web、无线设备及语音界面访问的Web服务和交易应用,以往只能通过将传统J

ava编程技巧与最新模块化方式结合到一个单一集成的开发环境中之后才能完成J2EE应用

开发生命周期管理的事实,从根本上得到改变。缺点就是对于初学者来说,较复杂,也

比较难。

6、IBM的Visual Age for Java

Visual Age for Java是一个非常成熟的开发工具,它的特性以于IT开发者和业余的

Java编程人员来说都是非常用有用的。它提供对可视化编程的广泛支持,支持利用CICS

连接遗传大型机应用,支持EJB的开发应用,支持与Websphere的集成开发,方便的bean

创建和良好的快速应用开发(RAD)支持和无文件式的文件处理。

IBM为建设Web站点所推出的WebSphere Studio Advanced Edition及其包含的Visual

Age for Java Professional Edition软件已全面转向以Java为中心,这样,Java开发人

员对WebSphere全套工具的感觉或许会好了许多。Studio所提供的工具有:Web站点管理

、快速开发 JDBC页向导程序、HTML编辑器和HTML语法检查等。这确实是个不错的HTML站

点页面编辑环境。Studio和VisualAge集成度很高,菜单中提供了在两种软件包之间快速

移动代码的选项。这就让使用Studio的Web页面设计人员和使用VisualAge的Java程序员

可以相互交换文件、协同工作。

Visual Age for Java支持团队开发,内置的代码库可以自动地根据用户做出改动而

修改程序代码,这样就可以很方便地将目前代码和早期版本做出比较。与Visual Age紧

密结合的Websphere Studio本身并不提供源代码和版本管理的支持,它只是包含了一个

内置文件锁定系统,当编辑项目的时候可以防止其他人对这些文件的错误修改,软件还支

持诸如Microsoft Visual SourceSafe这样的第三方源代码控制系统。Visual Age for

Java完全面向对象的程序设计思想使得开发程序非常快速、高效。你可以不编写任何代

码就可以设计出一个典型的应用程序框架。Visual Age for Java作为IBM电子商务解决

方案其中产品之一,可以无缝地与其他IBM产品,如WebSphere、DB2融合, 迅速完成从设

计、开发到部署应用的整个过程。

Visual Age for Java独特的管理文件方式使其集成外部工具非常困难,你无法让Vis

ual Age for Java与其他工具一起联合开发应用。

7、BEA 的 WebLogic Workshop

BEA WebLogic Workshop是一个统一、简化、可扩展的开发环境,使所有的开发人员

都能在 BEA WebLogic Enterprise Platform之上构建基于标准的企业级应用,从而提高

了开发部门的生产力水平,加快了价值的实现。

WebLogic Workshop除了提供便捷的Web服务之外,它能够用于创建更多种类的应用

。作为整个BEA WebLogic Platform的开发环境。不管是创建门户应用、编写工作流、还

是创建Web应用,Workshop 8.1都可以帮助开发人员更快更好地完成。

WebLogic Workshop的主要特点如下:

① 使 J2EE 开发切实可行,提高开发效率

BEA WebLogic Workshop 使开发人员远离 J2EE 内在的复杂性,集中精力专注业务

逻辑,无须操心单调乏味的基础结构代码。这种创新意味着,已被企业验证的 J2EE 的

强大功能,最终被大多数不熟悉 Java 和 J2EE 的应用开发人员所掌握,从而使 IT 部

门的工作效率提高一个数量级。

可视化设计器以及直观的概念,如事件、属性和控件等,实现了基于事件的开发。W

orkshop 简化的程序设计模型,使开发人员不必掌握复杂的 J2EE API 和面向对象的程

序设计原理。所有开发人员,包括 J2EE 专家和具有可视化和过程化语言技能的应用开

发人员在内,都可以共同工作在 BEA WebLogic Enterprise Platform 之上。Workshop

的可视化开发环境,创建带有代码注释的标准 Java 文件,用来说明由运行时框架实施

的企业级需求。J2EE 和其他高级开发人员,借助功能强大的代码编辑功能,可以访问

Java 源代码,从而弥补了可视化设计器的不足。

② 构建企业级应用

通过在可伸缩、安全可靠的企业级架构上实施各种应用,BEA WebLogic

Workshop 大大降低了开发风险。而且,所有应用的创建都使用标准的 J2EE 组件,既保

护了您的技术投资,又保持了最大的灵活性。

BEA WebLogic Workshop 运行框架,是统一整个架构的汇聚层,使单一、简化的程序设

计模型扩展到所有的 BEA WebLogic Enterprise Platform 应用类型。通过解释设计时

创建的注释代码,运行时框架可以实现必要的 J2EE 组件,并且提取出与 J2EE 应用开

发有关的所有底层细节。

③ 降低 IT 复杂性

BEA WebLogic Workshop 提供各种 Java 控件,使得与 IT 资源的连接更轻而易举

。另外,在构建任何 BEA WebLogic Platform 的应用中,Java 控件不仅可扩展而且完

全相同。这种强大、有效的方法能够:降低 IT 技术的复杂性,优化信息的可用性,推

动包含"最佳业务方案"的可重用服务的开发,使开发人员能以更低的成本、更短的时间

实现更大的产出。

利用 BEA WebLogic Workshop,任何开发人员都能以最大的生产效率,构建各种

Web 服务、Web 应用、门户和集成项目。BEA WebLogic Workshop是BEA的产品战略核心

,它帮助客户接触和利用面向服务架构(SOA)的强大功能。BEA Weblogic Workshop

8.1极大简化了当前实际企业集成环境中企业级应用和服务的构建,并成为全面支持关键

企业级应用(如异步、真正松耦合和粗粒度消息传送等)的自然选择。它的缺点就是过于

复杂,对于初学者来说,理解起来较为困难。

8、WebGain 的Visual Cafe for Java

Visual Cafe 是只能在Symantec公司的Java虚拟机、Netscape公司的Java虚拟机和M

icrosoft虚拟机上工作的调试器。这对于开发者来讲是一个重要的特性,因为用户开发的

Java代码中的许多软件bug就可能中会在某种特定的虚拟机上起作用。

在修改后进行编译基继续进行调试时,Visual Cafe会自动将文件存盘,使用Visual

Cafe创建的原生应用具有许多特点。除了明显的速度提高之外,Symantec使类库的二进制

方式比正常的JDK小Visual Cafe为所指定的关系自动生成或更新必要的Java代码。利用V

isual Cafe,用户可以从一个标准对象数据库中集合完整的Java应用程序和Applet,而

不必再编写源代码。Visual Cafe还提供了一个扩充的源代码开发工具集。

Visual Cafe综合了Java软件的可视化源程序开发工具,它允许开发人员在可视化视

图和源视图之间进行有效地转换。在可视化视图中进行的修改立即反映在源代码中。对

源代码的改变自动更新可视化视图。

Visual Cafe具有许多源文件方面的特性,如全局检索和替换。绝大多数Java开发工

具的文献的问题在于简单地挨个介绍开发工具的每部分组件,但用户在开应用时还需要

一个面向任务的手册,利用这个手册你可以不必知道工具每一部分的特定功能就可以开

始创建自己的应用。Visual Cafe提供了非常全面的用户指南,它对最开始的安装到创建

第一个Java应用和Applet都提供了全面的帮助,Visual Cafe将自动生成所指明关系的必

要Java代码。Visual Cafe可以在Windows 95和Windows NT平台下运行,Symantec公司为

Java开发工作提供一个在Macintosh操作系统下可以运行的RAD工具。Visual Cafe编译器

速度很快,在国际化支持方面比较突出;缺点就是对于初学者来说,较复杂,也比较难

9、Macromedia的JRUN

Macromedia公司的JRun是一个具有最广阔适用性的Java引擎,用于开发及实施由Jav

a Servlets和JavaServer Pages编写的服务器端Java应用。JRun是第一个完全支持JSP

1.0 规格书的商业化产品,全球有超过80,000名开发人员使用JRun在他们已有的Web服务

器上添加服务器端Java的功能。其中Web服务器包括了Microsoft IIS,Netscape

Enterprise Server,Apache等。

JRun是开发实施服务器端Java的先进引擎。如果我们希望在我们的Web应用中添加服

务器端Java功能,那么JRun将成为我们的正确选择。

JRun目前有3个版本,它是第一个支持Java Server Pages(JSP)规格书1.0的商业化

产品。JSP是一种强大的服务器端技术,它是用于创建复杂Web应用的一整套快速应用开

发系统。JRun可以使我们开始开发并测试Java应用。它最多接受5个并发的连接并且包括

全部Java Servlet API,支持JavaServer Pages(JSP),支持所有主要的Web

servers和计算机平台。 JRun Pro能够在生产环境下承受大访问量的负载,帮助我们实

施应用、服务或Web站点(包括内联网)。JRun Pro 支持无限量并发式连接运行多个Jav

a虚拟机,包括多个并发的Java虚拟机(JVM)。提供一个远程管理applet以及一个远程

可再分布式的管理applet。JRun Pro Unlimited包括了所有JRun Pro的功能,除次以外

,还可以运行无限量的,并发的JVM。

JRun依靠其内置的JRun Web Server可以单独运行。使用服务器端Java,用户可以开

发出复杂的商业应用系统。最重要的一点是,由于servlets的平台独立性,以及更加简

单的开发、更快速的实施、更经济的维护成本,它是CGI(Common Gateway

Interface)或Perl scripts的极佳的替代产品。缺点就是对于初学者来说,较复杂,也

比较难。

10、JCreator

JCreator 是一个Java程序开发工具,也是一个Java集成开发环境(IDE)。无论你

是要开发Java应用程序或者网页上的Applet元件都难不倒它。在功能上与Sun公司所公布

的JDK等文字模式开发工具相较之下来得容易,还允许使用者自订义操作窗口界面及无限

Undo/Redo等功能。

JCreator为用户提供了相当强大的功能,例如项目管理功能,项目模板功能,可个

性化设置语法高亮属性、行数、类浏览器、标签文档、多功能编绎器,向导功能以及完

全可自定义的用户界面。通过JCreator,我们不用激活主文档而直接编绎或运行我们的J

AVA程序。

JCreator能自动找到包含主函数的文件或包含Applet的Html文件,然后它会运行适

当的工具。在JCreator中,我们可以通过一个批处理同时编绎多个项目。JCreator的设

计接近Windows界面风格,用户对它的界面比较熟悉。其最大特点是与我们机器中所装的

JDK完美结合,是其它任何一款IDE所不能比拟的。它是一种初学者很容易上手的java开

发工具,缺点是只能进行简单的程序开发,不能进行企业J2EE的开发应用。

11、Eclipse

Eclipse是一种可扩展的开放源代码IDE。2001年11月,IBM公司捐出价值4,000万美

元的源代码组建了Eclipse联盟,并由该联盟负责这种工具的后续开发。集成开发环境(I

DE)经常将其应用范围限定在“开发、构建和调试”的周期之中。为了帮助集成开发环境

(IDE)克服目前的局限性,业界厂商合作创建了Eclipse平台。Eclipse允许在同一IDE中

集成来自不同供应商的工具,并实现了工具之间的互操作性,从而显著改变了项目工作

流程,使开发者可以专注在实际的嵌入式目标上。

Eclipse框架的这种灵活性来源于其扩展点。它们是在XML中定义的已知接口,并充

当插件的耦合点。扩展点的范围包括从用在常规表述过滤器中的简单字符串,到一个Jav

a类的描述。任何Eclipse插件定义的扩展点都能够被其它插件使用,反之,任何Eclipse

插件也可以遵从其它插件定义的扩展点。除了解由扩展点定义的接口外,插件不知道它

们通过扩展点提供的服务将如何被使用。

利用Eclipse,我们可以将高级设计(也许是采用UML)与低级开发工具(如应用调试器

等)结合在一起。如果这些互相补充的独立工具采用Eclipse扩展点彼此连接,那么当我

们用调试器逐一检查应用时,UML对话框可以突出显示我们正在关注的器件。事实上,由

于Eclipse并不了解开发语言,所以无论Java语言调试器、C/C++调试器还是汇编调试器

都是有效的,并可以在相同的框架内同时瞄准不同的进程或节点。

Eclipse的最大特点是它能接受由Java开发者自己编写的开放源代码插件,这类似于

微软公司的Visual Studio和Sun微系统公司的NetBeans平台。Eclipse为工具开发商提供

了更好的灵活性,使他们能更好地控制自己的软件技术。Eclipse联盟已经宣布将在2004

年中期发布其3.0版软件。这是一款非常受欢迎的java开发工具,这国内的用户越来越多

,实际上实用它java开发人员是最多的。缺点就是较复杂,对初学者来说,理解起来比

较困难。

13、Ant

Another Neat Tool(Ant)是一种基于Java的build工具。理论上来说,它有些类似于

(Unix)C中的make ,但没有make的缺陷。因为Ant的原作者在多种(硬件)平台上开发软

件时,无法忍受这些工具的限制和不便。类似于make的工具本质上是基于shell(语言)

的:他们计算依赖关系,然后执行命令(这些命令与你在命令行敲的命令没太大区别)

。这就意味着你可以很容易地通过使用OS特有的或编写新的(命令)程序扩展该工具;

然而,这也意味着你将自己限制在了特定的OS,或特定的OS类型上,如Unix。Ant就不同

了。与基于shell命令的扩展模式不同,Ant用Java的类来扩展。(用户)不必编写shell

命令,配置文件是基于XML的,通过调用target树,就可执行各种task。每个task由实现

了一个实现了特定Task接口的对象来运行。

Ant支持一些可选task,一个可选task一般需要额外的库才能工作。可选task与Ant

的内置task分开,单独打包。这个可选包可以从你下载Ant的同一个地方下载。ANT本身

就是这样一个流程脚本引擎,用于自动化调用程序完成项目的编译,打包,测试等。除

了基于JAVA是平台无关的外,脚本的格式是基于XML的,比make脚本来说还要好维护一些

。Ant是Apache提供给Java开发人员的构建工具,它可以在Windows OS和Unix OS下运行

,它不仅开放源码并且还是一个非常好用的工具。Ant是Apache Jakarta中一个很好用的

Java开发工具,Ant配置文件采用XML文档编写,所以Java程序员对其语法相当熟悉,Ant

是专用于Java项目平台,能够用纯Java来开发,它能够运行于Java安装的平台,即体现

了它的跨平台功能。它的缺点显示执行结果只能是DOS字符界面,不能进行复杂的java程

序开发。

14、IntelliJ

Intellij IDEA是一款综合的Java 编程环境,被许多开发人员和行业专家誉为市场

上最好的IDE。它提供了一系列最实用的的工具组合:智能编码辅助和自动控制,支持J2

EE,Ant,JUnit和CVS集成,非平行的编码检查和创新的GUI设计器。IDEA把Java开发人

员从一些耗时的常规工作中解放出来,显著地提高了开发效率。具有运行更快速,生成

更好的代码;持续的重新设计和日常编码变得更加简易,与其它工具的完美集成;很高

的性价比等特点。在4.0版本中支持Generics,BEA WebLogic集成,改良的CVS集成以及G

UI设计器。

IntelliJ IDEA能尽可能地促进程序员的编程速度。它包括了很多辅助的功能,并且

与Java结合得相当好。不同的工具窗口围绕在主编程窗口周围,当鼠标点到时即可打开

,无用时也可轻松关闭,使用户得到了最大化的有效屏幕范围。以技术为导向的IDEA集

成了调试器,支持本地和远程的调试,即使我们需要修改一些设置上的东西使我们的工

作顺利进展。另外,它还提供了通常的监视,分步调试以及手动设置断点功能,在这种

断点模式下,我们可以自动地在断点之外设置现场访问,甚至可以浏览不同的变量的值

。IDE支持多重的JVM设置,几个编译程序和Ant建造系统,并且,它使得设置多重的自定

义的类途径变得简单。

IntelliJ Idea是一个相对较新的Java IDE。它是Java开发环境中最为有用的一个。

高度优化的IntelleJ Idea使普通任务变得相当容易,Idea支持很多整合功能,更重要的

使它们设计的好容易使用。Idea支持XML中的代码实现,Idea同时还会校正XML,Idea支

持JSP的结构。作用于普通Java代码的众多功能同样适用于JSP(比如整合功能),同时

支持JSP调试;支持EJB,尽管它不包括对个别应用服务器的特殊支持。Idea支持Ant建立

工具,不仅是运行目标它还支持编译与运行程序前后运行目标,另外也支持绑定键盘快

捷键。在编辑一个Ant建立XML文件时,Idea还对组成Ant工程的XML部分提供支持。Intel

liJ IDEA 被称为是最好的JAVA IDE开发平台,这套软件就是以其聪明的即时分析和方便

的 refactoring 功能深获大家所喜爱。缺点是较复杂,对初学者来说,理解起来比较困

难。

java中的空指针异常怎么解决

原文:

你这个问题的解决

问题定位:

在堆栈异常信息的第一行就可以定位到是哪里出了空指针,倘若这里不是你写的类,可以往下翻一下,找到你写的类,就是这里出现的空指针。

问题解决:

对一个空对象调用里面的方法或者属性的时候会报空指针,检查这个对象为什么是空即可。

Java 空指针异常的若干解决方案

Java 中任何对象都有可能为空,当我们调用空对象的方法时就会抛出 NullPointerException 空指针异常,这是一种非常常见的错误类型。我们可以使用若干种方法来避免产生这类异常,使得我们的代码更为健壮。本文将列举这些解决方案,包括传统的空值检测、编程规范、以及使用现代 Java 语言引入的各类工具来作为辅助。

运行时检测

最显而易见的方法就是使用 if (obj == null) 来对所有需要用到的对象来进行检测,包括函数参数、返回值、以及类实例的成员变量。当你检测到 null 值时,可以选择抛出更具针对性的异常类型,如 IllegalArgumentException,并添加消息内容。我们可以使用一些库函数来简化代码,如 Java 7 开始提供的 Objects#requireNonNull 方法:

public void testObjects(Object arg) {

Object checked = Objects.requireNonNull(arg, "arg must not be null");

checked.toString();}

Guava 的 Preconditions 类中也提供了一系列用于检测参数合法性的工具函数,其中就包含空值检测:

public void testGuava(Object arg) {

Object checked = Preconditions.checkNotNull(arg, "%s must not be null", "arg");

checked.toString();

}

我们还可以使用 Lombok 来生成空值检测代码,并抛出带有提示信息的空指针异常:

public void testLombok(@NonNull Object arg) {

arg.toString();

生成的代码如下:

public void testLombokGenerated(Object arg) {

if (arg == null) {

throw new NullPointerException("arg is marked @NonNull but is null");

}

arg.toString();

}

这个注解还可以用在类实例的成员变量上,所有的赋值操作会自动进行空值检测。

编程规范

·通过遵守某些编程规范,也可以从一定程度上减少空指针异常的发生。

使用那些已经对 null 值做过判断的方法,如 String#equals、String#valueOf、以及三方库中用来判断字符串和集合是否为空的函数:

if (str != null str.equals("text")) {}

if ("text".equals(str)) {}

if (obj != null) { obj.toString(); }

String.valueOf(obj); // "null"

// from spring-core

StringUtils.isEmpty(str);

CollectionUtils.isEmpty(col);

// from guava

Strings.isNullOrEmpty(str);

// from commons-collections4

CollectionUtils.isEmpty(col);

·如果函数的某个参数可以接收 null 值,考虑改写成两个函数,使用不同的函数签名,这样就可以强制要求每个参数都不为空了:

public void methodA(Object arg1) {

methodB(arg1, new Object[0]);

}

public void methodB(Object arg1, Object[] arg2) {

for (Object obj : arg2) {} // no null check

}

·如果函数的返回值是集合类型,当结果为空时,不要返回 null 值,而是返回一个空的集合;如果返回值类型是对象,则可以选择抛出异常。Spring JdbcTemplate 正是使用了这种处理方式:

// 当查询结果为空时,返回 new ArrayList()

jdbcTemplate.queryForList("SELECT * FROM person");

// 若找不到该条记录,则抛出 EmptyResultDataAccessException

jdbcTemplate.queryForObject("SELECT age FROM person WHERE id = 1", Integer.class);

// 支持泛型集合

public T ListT testReturnCollection() {

return Collections.emptyList();

}

静态代码分析

Java 语言有许多静态代码分析工具,如 Eclipse IDE、SpotBugs、Checker Framework 等,它们可以帮助程序员检测出编译期的错误。结合 @Nullable 和 @Nonnull 等注解,我们就可以在程序运行之前发现可能抛出空指针异常的代码。

但是,空值检测注解还没有得到标准化。虽然 2006 年 9 月社区提出了 JSR 305 规范,但它长期处于搁置状态。很多第三方库提供了类似的注解,且得到了不同工具的支持,其中使用较多的有:

javax.annotation.Nonnull:由 JSR 305 提出,其参考实现为 com.google.code.findbugs.jsr305;

org.eclipse.jdt.annotation.NonNull:Eclipse IDE 原生支持的空值检测注解;

edu.umd.cs.findbugs.annotations.NonNull:SpotBugs 使用的注解,基于 findbugs.jsr305;

org.springframework.lang.NonNull:Spring Framework 5.0 开始提供;

org.checkerframework.checker.nullness.qual.NonNull:Checker Framework 使用;

android.support.annotation.NonNull:集成在安卓开发工具中;

我建议使用一种跨 IDE 的解决方案,如 SpotBugs 或 Checker Framework,它们都能和 Maven 结合得很好。

SpotBugs 与 @NonNull、@CheckForNull

SpotBugs 是 FindBugs 的后继者。通过在方法的参数和返回值上添加 @NonNull 和 @CheckForNull 注解,SpotBugs 可以帮助我们进行编译期的空值检测。需要注意的是,SpotBugs 不支持 @Nullable 注解,必须用 @CheckForNull 代替。如官方文档中所说,仅当需要覆盖 @ParametersAreNonnullByDefault 时才会用到 @Nullable。

官方文档 中说明了如何将 SpotBugs 应用到 Maven 和 Eclipse 中去。我们还需要将 spotbugs-annotations 加入到项目依赖中,以便使用对应的注解。

dependency

groupIdcom.github.spotbugs/groupId

artifactIdspotbugs-annotations/artifactId

version3.1.7/version

/dependency

以下是对不同使用场景的说明:

@NonNull

private Object returnNonNull() {

// 错误:returnNonNull() 可能返回空值,但其已声明为 @Nonnull

return null;

}

@CheckForNull

private Object returnNullable() {

return null;

}

public void testReturnNullable() {

Object obj = returnNullable();

// 错误:方法的返回值可能为空

System.out.println(obj.toString());

}

private void argumentNonNull(@NonNull Object arg) {

System.out.println(arg.toString());

}

public void testArgumentNonNull() {

// 错误:不能将 null 传递给非空参数

argumentNonNull(null);

}

public void testNullableArgument(@CheckForNull Object arg) {

// 错误:参数可能为空

System.out.println(arg.toString());

}

对于 Eclipse 用户,还可以使用 IDE 内置的空值检测工具,只需将默认的注解 org.eclipse.jdt.annotation.Nullable 替换为 SpotBugs 的注解即可:

Checker Framework 与 @NonNull、@Nullable

Checker Framework 能够作为 javac 编译器的插件运行,对代码中的数据类型进行检测,预防各类问题。我们可以参照 官方文档,将 Checker Framework 与 maven-compiler-plugin 结合,之后每次执行 mvn compile 时就会进行检查。Checker Framework 的空值检测程序支持几乎所有的注解,包括 JSR 305、Eclipse、甚至 lombok.NonNull。

import org.checkerframework.checker.nullness.qual.Nullable;

@Nullable

private Object returnNullable() {

return null;

}

public void testReturnNullable() {

Object obj = returnNullable();

// 错误:obj 可能为空

System.out.println(obj.toString());

}

Checker Framework 默认会将 @NonNull 应用到所有的函数参数和返回值上,因此,即使不添加这个注解,以下程序也是无法编译通过的:

private Object returnNonNull() {

// 错误:方法声明为 @NonNull,但返回的是 null。

return null;

}

private void argumentNonNull(Object arg) {

System.out.println(arg.toString());

}

public void testArgumentNonNull() {

// 错误:参数声明为 @NonNull,但传入的是 null。

argumentNonNull(null);

}

Checker Framework 对使用 Spring Framework 5.0 以上的用户非常有用,因为 Spring 提供了内置的空值检测注解,且能够被 Checker Framework 支持。一方面我们无需再引入额外的 Jar 包,更重要的是 Spring Framework 代码本身就使用了这些注解,这样我们在调用它的 API 时就能有效地处理空值了。举例来说,StringUtils 类里可以传入空值的函数、以及会返回空值的函数都添加了 @Nullable 注解,而未添加的方法则继承了整个框架的 @NonNull 注解,因此,下列代码中的空指针异常就可以被 Checker Framework 检测到了:

// 这是 spring-core 中定义的类和方法

public abstract class StringUtils {

// str 参数继承了全局的 @NonNull 注解

public static String capitalize(String str) {}

@Nullable

public static String getFilename(@Nullable String path) {}

}

// 错误:参数声明为 @NonNull,但传入的是 null。

StringUtils.capitalize(null);

String filename = StringUtils.getFilename("/path/to/file");

// 错误:filename 可能为空。

System.out.println(filename.length());

Optional 类型

Java 8 引入了 OptionalT 类型,我们可以用它来对函数的返回值进行包装。这种方式的优点是可以明确定义该方法是有可能返回空值的,因此调用方必须做好相应处理,这样也就不会引发空指针异常。但是,也不可避免地需要编写更多代码,而且会产生很多垃圾对象,增加 GC 的压力,因此在使用时需要酌情考虑。

OptionalString opt;

// 创建

opt = Optional.empty();

opt = Optional.of("text");

opt = Optional.ofNullable(null);

// 判断并读取

if (opt.isPresent()) {

opt.get();

}

// 默认值

opt.orElse("default");

opt.orElseGet(() - "default");

opt.orElseThrow(() - new NullPointerException());

// 相关操作

opt.ifPresent(value - {

System.out.println(value);

});

opt.filter(value - value.length() 5);

opt.map(value - value.trim());

opt.flatMap(value - {

String trimmed = value.trim();

return trimmed.isEmpty() ? Optional.empty() : Optional.of(trimmed);

});

方法的链式调用很容易引发空指针异常,但如果返回值都用 Optional 包装起来,就可以用 flatMap 方法来实现安全的链式调用了:

String zipCode = getUser()

.flatMap(User::getAddress)

.flatMap(Address::getZipCode)

.orElse("");

Java 8 Stream API 同样使用了 Optional 作为返回类型:

stringList.stream().findFirst().orElse("default");

stringList.stream()

.max(Comparator.naturalOrder())

.ifPresent(System.out::println);

此外,Java 8 还针对基础类型提供了单独的 Optional 类,如 OptionalInt、OptionalDouble 等,在性能要求比较高的场景下很适用。

其它 JVM 语言中的空指针异常

Scala 语言中的 Option 类可以对标 Java 8 的 Optional。它有两个子类型,Some 表示有值,None 表示空。

val opt: Option[String] = Some("text")

opt.getOrElse("default")

除了使用 Option#isEmpty 判断,还可以使用 Scala 的模式匹配:

opt match {

case Some(text) = println(text)

case None = println("default")

Scala 的集合处理函数库非常强大,Option 则可直接作为集合进行操作,如 filer、map、以及列表解析(for-comprehension):

opt.map(_.trim).filter(_.length 0).map(_.toUpperCase).getOrElse("DEFAULT")

val upper = for {

text - opt

trimmed - Some(text.trim())

upper - Some(trimmed) if trimmed.length 0

} yield upper

upper.getOrElse("DEFAULT")

Kotlin 使用了另一种方式,用户在定义变量时就需要明确区分 可空和不可空类型。当可空类型被使用时,就必须进行空值检测。

var a: String = "text"

a = null // 错误:无法将 null 赋值给非空 String 类型。

val b: String? = "text"

// 错误:操作可空类型时必须使用安全操作符(?.)或强制忽略(!!.)。

println(b.length)

val l: Int? = b?.length // 安全操作

b!!.length // 强制忽略,可能引发空值异常

Kotlin 的特性之一是与 Java 的可互操作性,但 Kotlin 编译器无法知晓 Java 类型是否为空,这就需要在 Java 代码中使用注解了,而 Kotlin 支持的 注解 也非常广泛。Spring Framework 5.0 起原生支持 Kotlin,其空值检测也是通过注解进行的,使得 Kotlin 可以安全地调用 Spring Framework 的所有 API。

结论

在以上这些方案中,我比较推荐使用注解来预防空指针异常,因为这种方式十分有效,对代码的侵入性也较小。所有的公共 API 都应该使用 @Nullable 和 @NonNull 进行注解,这样就能强制调用方对空指针异常进行预防,让我们的程序更为健壮。

你常用的Java工具库都有哪些

Java SDK 肯定是使用最广的库,所以本文的名单焦点是流行的第三方库。该列表可能并不完善,所以如果你觉得有什么应该出现在列表中的,请留下您的评论。非常感谢!

1、核心库

Apache Commons Lang:来自Apache的核心库,为java.lang API补充了许多常用的工具类,如字符串操作、对象的创建等。

Google Guava:来自谷歌的核心库,包括集合(Collection)、缓存(Caching)、支持原语(Primitives)等。(示例)

2、HTML、XML Parser

Jsoup:一个简化了的 HTML操作的库。(示例)

STaX:一组可以高效处理 XML的API。 (示例)

3、Web框架

Spring:Java平台上众所周知的开源框架和依赖注入容器。(示例)

Struts2:来自Apache的流行Web框架。 (示例)

Google Web Toolkit:Google提供的开发工具库,主要用于构建和优化复杂的Web程序用。 (示例)

Strips:使用最新Java技术构建的Web程序框架,推荐使用。

Tapestry:面向组件的框架,用于使用Java创建动态、健壮、扩展性高的Web应用程序。

请猛击这里 查看以上面框架之间的比较。

4、图表、报表、图像

JFreeChart:用于创建如条形图、折线图、饼图等图表。

JFreeReport:创建于输出PDF格式的报表。

JGraphT:创建图像,其中只包含由线段连接的点集。

5、窗口

Swing:SDK提供的GUI库。(示例)

SWT:eclipse提供的GUI库。

SWT与Swing的比较。

6.、GUI框架

Eclipse RCP。(示例)

7、自然语言处理

OpenNLP:来自Apache的自然语言处理库。 (示例)

Stanford Parser:斯坦福大学提供的自然语言处理库。(示例)

如果你是一名NLP专家,请猛击这里 查看更多工具库介绍。

8、静态分析

Eclipse JDT:由IBM提供的静态分析库,可以操作Java源代码。(示例)

WALA:可以处理jar包文件(即字节码)的工具库。(示例)

9、JSON

Jackson: 用于处理JSON数据格式的多用途的Java库。Jackson 旨在快速、准确、轻量、对开人员友好之间找到最好的平衡点。

XStream:一个简单用于对象和XML互相转换的库。

Google Gson:一个专门用于Java对象和Json对象相互转换的工具库。(示例)

JSON-lib:用于 beans、maps、collections、java arrays、XML 和 JSON 之间相互转换操作的工具库。

10、数学

Apache Commons Math:提供数学计算和数值统计需函数的工具库。

11、日志

Apache Log4j:风行一时的日志记录操作库。 (示例)

Logback:当前流行的log4j项目的继任者。

SLF4J(The Simple Logging Facade for Java): 各种日志框架的一个简单的外观或抽象(如java.util.logging 、logback、log4j等),允许用户在部署时加入需要的日志框架。

12、Office

Apache POI:利用其提供的APIs,可以使用纯Java代码操作各种基于微软OLE2合成文档格式的文档。

Docx4j:一个用于创建、操作微软公开的XML文件的库(支持Word docx、 Powerpoint pptx和Excel xlsx)。

13、日期和时间

Joda-Time:如有质量问题包退包换的Java日期和时间类。

14、数据库

Hibernate、EclipseLink、JPA

JDO

jOOQ

SpringJDBC、Spring Data

Apache DbUtils

15、开发工具

Lambok: 旨在减少代码编写的Java开发库。

java中几种解析html的工具

HTML分析是一个比较复杂的工作,Java世界主要有几款比较方便的分析工具:

1.Jsoup 

Jsoup是一个集强大和便利于一体的HTML解析工具。它方便的地方是,可以用于支持用jQuery中css selector的方式选取元素,这对于熟悉js的开发者来说基本没有学习成本。

String content = "blabla";

Document doc = JSoup.parse(content);

Elements links = doc.select("a[href]");

Jsoup还支持白名单过滤机制,对于网站防止XSS攻击也是很好的。

2.HtmlParser

HtmlParser的功能比较完备,也挺灵活,但谈不上方便。这个项目很久没有维护了,最新版本是2.1。HtmlParser的核心元素是Node,对应一个HTML标签,支持getChildren()等树状遍历方式。HtmlParser另外一个核心元素是NodeFilter,通过实现NodeFilter接口,可以对页面元素进行筛选。这里有一篇HtmlParser的使用文章:使用 HttpClient 和 HtmlParser 实现简易爬虫。

3.Apache tika

tika是专为抽取而生的工具,还支持PDF、Zip甚至是Java Class。使用tika分析HTML,需要自己定义一个抽取内容的Handler并继承org.xml.sax.helpers.DefaultHandler,解析方式就是xml标准的方式。crawler4j中就使用了tika作为解析工具。SAX这种流式的解析方式对于分析大文件很有用,我个人倒是认为对于解析html意义不是很大。

InputStream inputStream = null;

HtmlParser htmlParser = new HtmlParser();

htmlParser.parse(new ByteArrayInputStream(page.getContentData()),

contentHandler, metadata, new ParseContext());

4.HtmlCleaner与XPath

HtmlCleaner最大的优点是:支持XPath的方式选取元素。XPath是一门在XML中查找信息的语言,也可以用于抽取HTML元素。XPath与CSS Selector大部分功能都是重合的,但是CSS Selector专门针对HTML,写法更简洁,而XPath则是通用的标准,可以精确到属性值。XPath有一定的学习成本,但是对经常需要编写爬虫的人来说,这点投入绝对是值得的。


文章标题:java静态代码分析工具 python静态代码分析工具
本文来源:http://gzruizhi.cn/article/hphcsg.html

其他资讯