360Qtest专栏 击败 Facebook Infer?360 火线大起底

丁老九 · 2017年06月05日 · 最后由 codeskyblue 回复于 2017年06月05日 · 2222 次阅读

静态代码扫描领域风起云涌十余载,各个扫描工具拥趸众多,其中 Facebook 开源的 Infer 异军突起,独领风骚。然而 360 火线作为新的入场者凭什么能够击败 Infer?是真有实力还是噱头吹捧?

Facebook 开源静态分析工具 Infer

Infer 是 Facebook 旗下开源的静态分析工具,至今已在 Github 上获得 6700+ Star。Infer 可以扫描 JAVA、Objective-C 和 C/C++ 代码,擅长资源泄漏以及空指针的检测。

360 火线(FireLine)

360 火线(Fireline)是 360 公司技术委员会牵头,Web 平台部 Qtest 团队开发的一款免费静态代码分析工具。主要针对移动端 Android 产品进行静态代码分析。其最为突出的优点就是资源泄漏问题的全面检测。同时,火线与 360 信息安全部门合作,推出了一系列针对移动端安全漏洞的检测规则。360 火线提供免费使用,扫描速度快,并支持 Android Studio 插件,Jenkins 插件,Gradle 部署等多种集成方式。

火线目前是 360 公司发布流程中必不可少的环节,在每次代码编译审核时提供静态代码分析检测,为代码审计人员、开发人员分别提供审核和修改代码的依据。目前火线在 360 发布流程中已累计运行超过 500 天,扫描文件数 2 千万 +,扫描代码量超过 45 亿行。火线最近推出的 Android Studio 插件 360 Fireline Plugin 下载量已达到 4000+。

火线拥有四大类规则,分别为安全类,内存类,日志类,基础类。
• 安全类:根据 360 信息安全部门最权威的 SDL 专门定制,每一条 SDL 都有真实的攻击案例
• 内存类:各种资源关闭类问题检测(本次评测的重点)
• 日志类:检测日志输出敏感信息内容的规则
• 基础类:规范类、代码风格类、复杂度检查规则
(详见官网:http://magic.360.cn

火线如何击败 Facebook Infer

1. 火线针对资源关闭的深入研究

综合国内外静态代码分析现状以及结合业务中常见代码问题,并走访、咨询过多位业内资深技术专家,我们发现资源泄漏问题是开发者非常关注但又会经常疏漏的难题。

随着对资源泄漏问题逐步深入的研究中我们发现,目前市面上开源的静态代码扫描产品都无法给出令人满意的解决方案。即使是目前热度最高的 Infer,针对资源关闭问题的扫描也有一个致命的缺陷,即无法正确识别出跨类跨方法以及第三方关闭类关闭资源对象的复杂场景。

于是火线团队针对资源泄漏问题进行了深度的研究(点击查看研究结果相关文章链接),采用了新的解决方案,不仅能够正确识别几十种不同资源泄漏问题场景,并且针对跨类跨方法的追踪检测有了重大突破。

我们梳理了 30 种资源泄漏场景,通过测试项目 TestCasesProject(github 地址),对 Infer 和火线这两种种静态代码分析工具的扫描结果做横向对比分析。

2. 静态代码分析工具测评维度

误报率和有效率是静态代码分析工具非常关键的指标,因此本次测评主要从以下几个维度分析各个工具的利弊:命中 BUG、相似代码误报、漏测 BUG、缺少规则。本次评测结果图标示意如下表所示:
这里写图片描述

3. 静态分析工具扫描结果分析

1、资源泄漏类问题

针对资源泄漏问题,两种静态分析工具的检测结果,如下表所示:

【问题描述详情请见测试项目 TestCasesProject 源码】
数据统计结果如下表:

从上表中数据结果分析可得,火线针对 30 种场景全部正确命中,检出率 100%。Infer 的 bug 有效数表现不错,但是面对这 30 种复杂场景,误报率较高。

经分析 Infer 误报的测试用例,发现 Infer 对跨类跨文件资源关闭方式以及无需关闭的资源对象无法做出正确检测。而火线可以良好的检测所有资源关闭方式以及对无需关闭的资源对象进行有效过滤。

2.其他类规则

除了针对资源泄漏问题检测做了深入研究外,火线还定制了独有的日志和移动端的安全类规则,以帮助开发人员规避代码中存在的安全风险。(详见官网:http://magic.360.cn

从上表中数据结果分析可得,火线独有的安全规则和代码规范规则具有很强的壁垒优势,同时 Infer 在空指针检测上的表现有待提高。

总结

综合以上对比结果,可以明显的看出 360 火线在列举的各个方面都有非常大的领先优势。但是作为静态代码扫描领域的新产品,我们深知还有很长的路要走。360 火线目前深耕 Android 代码检测,并已率先支持 Kotlin 语言扫描。大家在使用过程中有任何问题和建议,欢迎反馈到火线邮箱(g-qtest-fankui@360.cn)。我们会持续不断地优化改进 360 火线,以帮助大家更快更好的发现和解决代码质量问题。

附录

火线与市面上开源的静态代码扫描工具:Infer、PMD、Findbugs、Sonar 的横向对比图。

共收到 7 条回复 时间 点赞

testcase 的地址呢?

simple 回复

文中已提及:“github 地址”,点击该文字的链接即可。

看了测试 case,资源关闭类的 case 写的确实很全面,学习到了。

Arya 回复

谢谢支持~有建议和反馈可以随时指出,互相学习,共同进步~

人家 infer 是来源的呀

codeskyblue 回复

你的意思是 infer 开源的吧

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册