SONAR代码扫描部分问题总结

最新推荐文章于 2024-08-25 10:00:00 发布
原创 最新推荐文章于 2024-08-25 10:00:00 发布 · 5.7k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文探讨了Java编码中常见的问题及解决方案,包括正则表达式的正确使用、资源关闭的重要性、匿名内部类转换为Lambda表达式、工具类的正确设计以及序列化类字段的处理,旨在提升代码质量和可维护性。

id squid:S2639

  • 描述: Regular expressions are powerful but tricky, and even those long used to using them can make mistakes.
  • 问题说明:str.replaceAll(".", “ ”);. 第一个参数是正则表达式,配任何单个字符。在replaceAll中使用,它匹配所有内容,所以所有内容都将会被替换
  • 解决方案:写入正确的正则表达式,如果要替换所有的字符串,就不需要调用,如果只匹配".",可以使用str.replaceAll("\.", “ ”);

id squid:S2119

  • 描述: “Random” objects should be reused

  • 问题说明:在意个类的多个方法中使用了Random random = new Random(); 应该重用“随机”对象 随机数种子在创建一个random对象的时候生成,相同 的随机数种子,产生相同随机数的几率非常高

  • 解决方案:随机数定义为一个属性,然后在下面的方法里面生成随机值

    private Random rand =  new SecureRandom();  // SecureRandom is preferred to Random

public void doSomethingCommon() {
  int rValue = this.rand.nextInt();
  //...

id squid:S2095

  • 描述: Resources should be closed

  • 问题说明:连接(Connections)、流(Streams)、文件(files)等实现了Closeable接口的类,在使用以后应该关闭,并且所有的关闭都应该放到finally里面。

  • 解决方案:

    OutputStream stream = null;
    try {
    stream = new FileOutputStream(“myfile.txt”);
    for (String property : propertyList) {
    // …
    }
    } catch (Exception e) {
    // …
    } finally {
    stream.close();
    }
    }

    try (OutputStream stream = new FileOutputStream(“myfile.txt”)😉{

    ​ for (String property : propertyList) {
    ​ // …
    ​ }
    } catch (Exception e) {
    ​ // …
    }
    }

id squid:S2293

  • 描述: The diamond operator ("<>") should be used

  • 问题说明:Java 7引入了运算符(<>),以减少泛型代码的冗长性。例如,不必在列表的声明和构造函数中声明列表的类型,现在可以使用<>来简化构造函数声明,编译器将推断该类型。

    请注意,当项目的sonar.java.source低于7时,此规则将自动禁用

  • 解决方案:省略定义变量后面的列表类型

Map<String,List<Integer>> map = new HashMap<>();

id squid:S1186

  • 描述: Methods should not be empty

  • 问题说明:方法体为空,没有任何实现。方法没有方法体有以下几个原因:

    这是一个无意的疏忽导致,应该加以纠正,以防止在生产中出现意外行为。

    这个方法还没有或者永远不会实现。在这种情况下,应该抛出 UnsupportedOperationException 。

    该方法是一个有意为空的重写。在这种情况下,嵌套注释应该解释空白覆盖的原因。

  • 解决方案:添加注释说明或者抛出异常

    @Override
public void doSomething() {
  // Do nothing because of X and Y.
}

@Override
public void doSomethingElse() {
  throw new UnsupportedOperationException();
}

id squid:S1604

  • 描述 Anonymous inner classes containing only one method should become lambdas

  • 问题说明:在Java8之前,在Java中部分支持闭包的唯一方法是使用匿名内部类。但是匿名类的语法看起来很难理解。

    在Java 8中,匿名内部类的大多数使用应该被lambdas替代,以高度提高源代码的可读性。

    请注意,当项目的sonar.java.source低于8时,此规则将自动禁用。

  • 解决方案:内部类使用lambdas表达式替换

    myCollection.stream().map(new Mapper<String,String>() {
  public String map(String input) {
    return new StringBuilder(input).reverse().toString();
  }
});

Predicate<String> isEmpty = new Predicate<String> {
    boolean test(String myString) {
        return myString.isEmpty();
    }
}

    –>

    myCollection.stream().map(input -> new StringBuilder(input).reverse().toString());

Predicate<String> isEmpty = myString -> myString.isEmpty();

id squid:S1118

  • 描述 Utility classes should not have public constructors

  • 问题说明:实用程序类是静态成员的集合,不应该被实例化。即使可以扩展的抽象实用程序类也不应该有公共构造函数。

    Java向每个没有显式定义至少一个类的类添加隐式公共构造函数。因此,至少应该定义一个非公共构造函数。

  • 解决方案:向工具类中添加一个非公共的构造函数

    class StringUtils { // Compliant
  private StringUtils() {
    throw new IllegalStateException("Utility class");
  }
  public static String concatenate(String s1, String s2) {
    return s1 + s2;
  }
}

id squid:S1948

  • 描述 Fields in a “Serializable” class should either be transient or serializable

  • 问题说明:字符串判断是否为空的时候,通常是

    if (signPdfRequest.getSysFlag() == null 4|| “”.equals(signPdfRequest.getSysFlag())) {
    errors.append(“系统标识不能为空;”);
    }

    特别是如果有很多,会导致代码可读性变差

  • 解决方案:改为一下写法或者使用注解@Valid

    if (StringUtils.isEmpty(signPdfRequest.getSysFlag())) {
    errors.append(“系统标识不能为空;”);
    }

代码质量管理工具:SonarQube常见的问题及正确解决方案
JKX_geek的博客
03-16 1455
SonarQube 简介 Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具。 与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代...
如何使用Sonar进行静态扫描(Windows系统)
qq_40631968的博客
04-22 4277
与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。1、在sonar 服务已经搭建,Jenkins所在主机可以正常访问的情况下,进到jenkins安装插件的界面,搜索“SonarQube Scanner”,安装好后重启Jenkins服务。
Randomobjects should be reused解决 Random() 低效问题
u011519294的博客
10-22 6457
#原始JDK Random对象低效原因 “Random”对象应该被重用,因为Random每次创建一个随机值时是低效的,而且根据JDK的不同,可能会产生非随机的数字。为了提高效率和随机性,创建一个单一的随机变量,然后存储和重用它。 Random()构造函数每次都尝试用不同的值设置种子。然而不能保证种子是随机的,甚至是均匀分布的。一些JDK将使用当前时间作为种子,这使得生成的数字根本不是随机的。 该规则发现在每次调用方法并将其分配给本地随机变量时创建一个新的随机变量的情况。 Random random=new
代码质量检测工具-笔记(二)-代码质量问题
ahao' Blog
10-19 610
记录遇到的代码质量问题
Sonar代码扫描常见的bug
weixin_44288659的博客
07-17 1万+
1、Save and re-use this "Random" "Random" objects should be reused 创建的随机数不安全。 解决方案 1、sonar建议: private Random rand = SecureRandom.getInstanceStrong(); // SecureRandom is preferred to Random public void doSomethingCommon() { int rValue = this.rand.next
SonarLint检测出的bug、漏洞修复总结
热门推荐
Gorden的博客
02-15 3万+
1、Introduce a new variable instead of reusing the parameter "prefixKey" 不要用传递过来的参数去重新赋值做判断等 可以新建一个参数 等于传递过来的参数 用新的参数去操作 private String getBatchSaveKey(Map<String, String> map, String prefixKey, String... keys) {undefined //创建一个newPrefix...
serializable java 规则_java – SonarQube – “Serializable”类中的规则字段应该是瞬态的或可序列化的...
weixin_42497593的博客
02-13 696
它可能看起来像重复的问题,但我已经发布了由声纳规则Compliant提出的代码示例.使用SonarQube评估以下突出显示的代码时,会导致squid:S1948规则违规. 结果, plz澄清说,为什么它显示违反合规代码仍然是一个谜.UPDATE即使使用sonar.java.binaries,也无法解决瞬态或可序列化问题声纳扫描是成功但引发类加载器警告:08:26:44.984 INFO – Jav...
Sonar扫描python代码
seanyang_的博客
03-31 4315
本文介绍使用sonar扫描本地Python项目的代码,生成报告。 sonar新建项目 新建项目,填写项目名称和key,这个后续会用到。 生成token 下载Scanner 点进链接,下载scanner。并解压,将bin的路径添加至环境变量。目的:在系统任何位置都能找到scanner命令。 扫描方式一: 在项目根目录创建sonar-project.properties文件,填写配置。目的:扫描后生成的报告,上传至sonar上的ProjectKey为test的项目...
sonar扫描处理lombok问题
老螺丝的技术人生
11-20 6772
问题分析 Sonar是应该静态代码扫描工具,默认根据源代码分析代码质量和潜在的问题。lombok是一个字节码增强工具,通过在编译期修改java class字节码实现简化代码的目的。所以默认情况sonar会将使用lombok @Data等注解的类识别为 代码坏味道 。SonarJava是sonar默认提供的Java语言分析器。SonarJava4.12以后增加了字节码分析能力,但到5.1才解决lom...
sonar静态扫描安全靶场webgoat
最新发布
A_991128a的博客
08-25 1345
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。这意味着即使知道当前的随机数生成位置,也无法预测下一个生成的随机数。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
Sonar Java默认扫描规则
yiyijianxian的博客
08-07 9177
规则如下: ".equals()" should not be used to test the values of "Atomic" classes:equals()方法不应该用在原子类型的数据上(如:AtomicInteger, AtomicLong, AtomicBoolean). "=+" should not be used instead of "+=""=+"不可以替代 “+=”. "==" and "!=" should not be used when "equals" is ov
Sonar Java默认的扫描规则
兴趣是最好的老师
09-09 6730
Sonar Java默认的扫描规则
Java:sonar代码审查问题总结 ----Random 问题
阿咚do懂的博客
05-25 2014
"Random" objects should be reused
sonarsonar:默认的扫描规则
coolcoffee168的专栏
07-14 1万+
转自https://www.cnblogs.com/gcgc/p/11451125.html https://blog.csdn.net/liumiaocn/article/details/83550309 https://note.youdao.com/ynoteshare1/index.html?id=3c1e6a08a21ada4dfe0123281637e299&type=note https://blog.csdn.net/liumiaocn/article/details/..
java质量重构-坏味道优化
joywish的专栏
08-28 938
1、字符串文字不应重复 重复的字符串文字使重构过程容易出错,因为您必须确保更新所有出现的内容。另一方面,常量可以从很多地方引用,但只需要在一个地方更新。 案例: 2、方法的认知复杂度不能太高 认知复杂度是衡量方法的控制流的难易程度的度量。具有高认知复杂性的方法将难以维护。 认知复杂度计算方式: (1)&&、|| 条件判断符号 +1 (2)if、else if、else、switch...
sonarQube扫描bug、漏洞处理汇总
liu_xue_xue的专栏
05-21 3万+
目录 Bugs 漏洞 Bugs Use an "instanceof" comparison instead. Cast one of the operands of this integer division to a "double" Remove this throw statement from this finally block. 漏洞
Sonar常见问题修改
qq_43238568的博客
04-18 6412
Sonarlint常见问题
Sonarlint问题汇总
若阳丶的博客
09-30 8202
sonarlint代码检测
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值