击败Facebook Infer!360火线大起底

Posted wpyily

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了击败Facebook Infer!360火线大起底相关的知识,希望对你有一定的参考价值。

静态代码扫描领域风起云涌十余载,各个扫描工具拥趸众多,其中Facebook开源的Infer异军突起,独领风骚。然而360火线作为新的入场者凭什么能够击败Infer?是真有实力还是噱头吹捧?

Facebook 开源静态分析工具Infer


Infer是 Facebook 旗下开源的静态分析工具,至今已在Github上获得6700+ Star。Infer可以扫描JAVA、Objective-C和 C/C++ 代码,擅长资源泄漏以及空指针的检测。

360火线(FireLine)


360火线(Fireline)是360公司技术委员会牵头,Web平台部Qtest团队开发的一款免费静态代码分析工具。主要针对移动端android产品进行静态代码分析。其最为突出的优点就是资源泄漏问题的全面检测。同时,火线与360信息安全部门合作,推出了一系列针对移动端安全漏洞的检测规则。360火线提供免费使用,扫描速度快,并支持Android Studio插件,Jenkins插件,Gradle部署等多种集成方式。

火线目前是360公司发布流程中必不可少的环节,在每次代码编译审核时提供静态代码分析检测,为代码审计人员、开发人员分别提供审核和修改代码的依据。目前火线在360发布流程中已累计运行超过500天,扫描文件数2千万+,扫描代码量超过45亿行。火线最近推出的Android Studio插件360 Fireline Plugin下载量已达到4000+。

火线拥有四大类规则,分别为安全类,内存类,日志类,基础类。

  • 安全类:根据360信息安全部门最权威的SDL专门定制,每一条SDL都有真实的攻击案例
  • 内存类:各种资源关闭类问题检测(本次评测的重点)
  • 日志类:检测日志输出敏感信息内容的规则
  • 基础类:规范类、代码风格类、复杂度检查规则

(详见官网:http://magic.360.cn

火线如何击败 Facebook Infer


1. 火线针对资源关闭的深入研究

综合国内外静态代码分析现状以及结合业务中常见代码问题,并走访、咨询过多位业内资深技术专家,我们发现资源泄漏问题是开发者非常关注但又会经常疏漏的难题。

随着对资源泄漏问题逐步深入的研究中我们发现,目前市面上开源的静态代码扫描产品都无法给出令人满意的解决方案。即使是目前热度最高的Infer,针对资源关闭问题的扫描也有一个致命的缺陷,即无法正确识别出跨类跨方法以及第三方关闭类关闭资源对象的复杂场景。

于是火线团队针对资源泄漏问题进行了深度的研究(点击查看研究结果相关文章链接),采用了新的解决方案,不仅能够正确识别几十种不同资源泄漏问题场景,并且针对跨类跨方法的追踪检测有了重大突破。

我们梳理了30种资源泄漏场景,通过测试项目TestCasesProject(https://github.com/ariesliu/TestCasesProject),对Infer和火线这两种种静态代码分析工具的扫描结果做横向对比分析。

2. 静态代码分析工具测评维度

误报率和有效率是静态代码分析工具非常关键的指标,因此本次测评主要从以下几个维度分析各个工具的利弊:命中BUG、相似代码误报、漏测BUG、缺少规则。本次评测结果图标示意如下表所示:

3. 静态分析工具扫描结果分析

1、资源泄漏类问题

针对资源泄漏问题,两种静态分析工具的检测结果,如下表所示:


【问题描述详情请见测试项目TestCasesProject源码】
数据统计结果如下表:

从上表中数据结果分析可得,火线针对30种场景全部正确命中,检出率100%。Infer的bug有效数表现不错,但是面对这30种复杂场景,误报率较高。

经分析Infer误报的测试用例,发现Infer对跨类跨文件资源关闭方式以及无需关闭的资源对象无法做出正确检测。而火线可以良好的检测所有资源关闭方式以及对无需关闭的资源对象进行有效过滤。

2.其他类规则

除了针对资源泄漏问题检测做了深入研究外,火线还定制了独有的日志和移动端的安全类规则,以帮助开发人员规避代码中存在的安全风险。(详见官网:http://magic.360.cn


从上表中数据结果分析可得,火线独有的安全规则和代码规范规则具有很强的壁垒优势,同时Infer在空指针检测上的表现有待提高。

总结


综合以上对比结果,可以明显的看出360火线在列举的各个方面都有非常大的领先优势。但是作为静态代码扫描领域的新产品,我们深知还有很长的路要走。360火线目前深耕Android代码检测,并已率先支持Kotlin语言扫描。大家在使用过程中有任何问题和建议,欢迎反馈到火线邮箱(g-qtest-fankui@360.cn)。我们会持续不断地优化改进360火线,以帮助大家更快更好的发现和解决代码质量问题。

附录


火线与市面上开源的静态代码扫描工具:Infer、PMD、Findbugs、Sonar的横向对比图。

以上是关于击败Facebook Infer!360火线大起底的主要内容,如果未能解决你的问题,请参考以下文章

Android APP风险检测-360火线

阿里腾讯京东微软,各家算法&数据挖掘岗位面经大起底!

Future 异步回调 大起底之 Java Future 与 Guava Future

欧洲用户放弃Android转投iOS原因大起底

Windows和Linux容器异同大起底

Android 新老两代 Camera API 大起底