静态代码扫描领域风起云涌十余载,各个扫描工具拥趸众多,其中Facebook开源的Infer异军突起,独领风骚。然而360火线作为新的入场者凭什么能够击败Infer?是真有实力还是噱头吹捧?
Facebook 开源静态分析工具Infer
Infer是 Facebook 旗下开源的静态分析工具,至今已在Github上获得6700+ Star。Infer可以扫描JAVA、Objective-C和 C/C++ 代码,擅长资源泄漏以及空指针的检测。
360火线(FireLine)
360火线(Fireline)是360公司技术委员会牵头,Web平台部Qtest团队开发的一款免费静态代码分析工具。主要针对移动端Android产品进行静态代码分析。其最为突出的优点就是资源泄漏问题的全面检测。同时,火线与360信息安全部门合作,推出了一系列针对移动端安全漏洞的检测规则。360火线提供免费使用,扫描速度快,并支持Android Studio插件,Jenkins插件,Gradle部署等多种集成方式。
火线目前是360公司发布流程中必不可少的环节,在每次代码编译审核时提供静态代码分析检测,为代码审计人员、开发人员分别提供审核和修改代码的依据。目前火线在360发布流程中已累计运行超过500天,扫描文件数2千万+,扫描代码量超过45亿行。火线最近推出的Android Studio插件360 Fireline Plugin下载量已达到4000+。
火线拥有四大类规则,分别为安全类,内存类,日志类,基础类。
•安全类:根据360信息安全部门最权威的SDL专门定制,每一条SDL都有真实的攻击案例
•内存类:各种资源关闭类问题检测(本次评测的重点)
•日志类:检测日志输出敏感信息内容的规则
•基础类:规范类、代码风格类、复杂度检查规则
火线如何击败 Facebook Infer
火线针对资源关闭的深入研究
综合国内外静态代码分析现状以及结合业务中常见代码问题,并走访、咨询过多位业内资深技术专家,我们发现资源泄漏问题是开发者非常关注但又会经常疏漏的难题。
随着对资源泄漏问题逐步深入的研究中我们发现,目前市面上开源的静态代码扫描产品都无法给出令人满意的解决方案。即使是目前热度最高的Infer,针对资源关闭问题的扫描也有一个致命的缺陷,即无法正确识别出跨类跨方法以及第三方关闭类关闭资源对象的复杂场景。
静态代码分析工具测评维度
误报率和有效率是静态代码分析工具非常关键的指标,因此本次测评主要从以下几个维度分析各个工具的利弊:命中BUG、相似代码误报、漏测BUG、缺少规则。本次评测结果图标示意如下表所示:
静态分析工具扫描结果分析
1、资源泄漏类问题
针对资源泄漏问题,两种静态分析工具的检测结果,如下表所示:
【点击图片查看高清大图】
【问题描述详情请见测试项目TestCasesProject源码】
数据统计结果如下表:
从上表中数据结果分析可得,火线针对30种场景全部正确命中,检出率100%。Infer的bug有效数表现不错,但是面对这30种复杂场景,误报率较高。
经分析Infer误报的测试用例,发现Infer对跨类跨文件资源关闭方式以及无需关闭的资源对象无法做出正确检测。而火线可以良好的检测所有资源关闭方式以及对无需关闭的资源对象进行有效过滤。
2.其他类规则
【点击图片查看高清大图】
从上表中数据结果分析可得,火线独有的安全规则和代码规范规则具有很强的壁垒优势,同时Infer在空指针检测上的表现有待提高。
总结
附录:
火线与市面上开源的静态代码扫描工具:Infer、PMD、Findbugs、Sonar的横向对比图。
【点击图片查看高清大图】