scope.add(PROGUARD_FILE)
} else if (name.endsWith(DOT_PROPERTIES)) {
scope.add(PROPERTY_FILE)
} else if (name.endsWith(DOT_PNG)) {
scope.add(BINARY_RESOURCE_FILE)
} else if (name == RES_FOLDER || file.parent == RES_FOLDER) {
scope.add(ALL_RESOURCE_FILES)
scope.add(RESOURCE_FILE)
scope.add(BINARY_RESOURCE_FILE)
scope.add(RESOURCE_FOLDER)
}
}
} else {
// Specified a full project: just use the full project scope
scope = Scope.ALL
break
}
}
}
可以看到,如果Project的Subset为Null,Scope就为Scope.ALL,表示本次扫描会针对能检测的所有范围,相应地在扫描时也会用到所有全部的Detector来扫描文件。
如果Project的Subset不为Null,就遍历Subset的集合,找出Subset中的文件分别对应哪些范围。其实到这里我们已经可以知道,Subset就是我们增量扫描的突破点。接下来我们看一下runFileDetectors:
if(scope.contains(Scope.JAVA_FILE)||scope.contains(Scope.ALL_JAVA_FILES)){
val checks = union(scopeDetectors[Scope.JAVA_FILE],scopeDetectors[Scope.ALL_JAVA_FILES])
if (checks != null && !checks.isEmpty()) {
val files = project.subset
if (files != null) {
checkIndividualJavaFiles(project, main, checks, files)
} else {
val sourceFolders = project.javaSourceFolders
val testFolders = if (scope.contains(Scope.TEST_SOURCES))
project.testSourceFolders
else
emptyList ()
val generatedFolders = if (isCheckGeneratedSources)
project.generatedSourceFolders
else
emptyList ()
checkJava(project, main, sourceFolders, testFolders, generatedFolders, checks)
}
}
}
这里更加明确,如果project.subset不为空,就对单独的Java文件扫描,否则,就对源码文件和测试目录以及自动生成的代码目录进行扫描。整个runFileDetectors的扫描顺序入下:
- Scope.MANIFEST
- Scope.ALL_RESOURCE_FILES)|| scope.contains(Scope.RESOURCE_FILE) || scope.contains(Scope.RESOURCE_FOLDER) || scope.contains(Scope.BINARY_RESOURCE_FILE)
- scope.contains(Scope.JAVA_FILE) || scope.contains(Scope.ALL_JAVA_FILES)
- scope.contains(Scope.CLASS_FILE) || scope.contains(Scope.ALL_CLASS_FILES) || scope.contains(Scope.JAVA_LIBRARIES)
- scope.contains(Scope.GRADLE_FILE)
- scope.contains(Scope.OTHER)
- scope.contains(Scope.PROGUARD_FILE)
- scope.contains(Scope.PROPERTY_FILE)
与官方文档的描述顺序一致。
现在我们已经知道,增量扫描的突破点其实是需要构造project.subset对象。
/**
- Adds the given file to the list of files which should be checked in this
- project. If no files are added, the whole project will be checked.
- @param file the file to be checked
*/
public void addFile(@NonNull File file) {
if (files == null) {
files = new ArrayList<>();
}
files.add(file);
}
/**
- The list of files to be checked in this project. If null, the whole
- project should be checked.
- @return the subset of files to be checked, or null for the whole project
*/
@Nullable
public List getSubset() {
return files;
}
注释也很明确的说明了只要Files不为Null,就会扫描指定文件,否则扫描整个工程。
Lint增量扫描Gradle任务实现
前面分析了如何获取差异文件以及增量扫描的原理,分析的重点还是侧重在Lint工具本身的实现机制上。接下来分析,在Gradle中如何实现一个增量扫描任务。大家知道,通过执行./gradlew lint命令来执行Lint静态代码检测任务。创建一个新的Android工程,在Gradle任务列表中可以在Verification这个组下面找到几个Lint任务,如下所示:
这几个任务就是 Android Gradle插件在加载的时候默认创建的。分别对应于以下几个Task:
- lint->LintGlobalTask:由TaskManager创建;
- lintDebug、lintRelease、lintVitalRelease->LintPerVariantTask:由ApplicationTaskManager或者LibraryTaskManager创建,其中lintVitalRelease只在release下生成;
所以,在Android Gradle 插件中,应用于Lint的任务分别为LintGlobalTask和LintPerVariantTask。他们的区别是前者执行的是扫描所有Variant,后者执行只针对单独的Variant。而我们的增量扫描任务其实是跟Variant无关的,因为我们会把所有差异文件都收集到。无论是LintGlobalTask或者是LintPerVariantTask,都继承自LintBaseTask。最终的扫描任务在LintGradleExecution的runLint方法中执行,这个类位于lint-gradle-26.1.1中,前面提到这个库是基于Lint的API针对Gradle任务做的一些封装。
/** Runs lint on the given variant and returns the set of warnings */
private Pair<List, LintBaseline> runLint(
@Nullable Variant variant,
@NonNull VariantInputs variantInputs,
boolean report, boolean isAndroid) {
IssueRegistry registry = createIssueRegistry(isAndroid);
LintCliFlags flags = new LintCliFlags();
LintGradleClient client =
new LintGradleClient(
descriptor.getGradlePluginVersion(),
registry,
flags,
descriptor.getProject(),
descriptor.getSdkHome(),
variant,
variantInputs,
descriptor.getBuildTools(),
isAndroid);
boolean fatalOnly = descriptor.isFatalOnly();
if (fatalOnly) {
flags.setFatalOnly(true);
}
LintOptions lintOptions = descriptor.getLintOptions();
if (lintOptions != null) {
syncOptions(
lintOptions,
client,
flags,
variant,
descriptor.getProject(),
descriptor.getReportsDir(),
report,
fatalOnly);
} else {
// Set up some default reporters
flags.getReporters().add(Reporter.createTextReporter(client, flags, null,
new PrintWriter(System.out, true), false));
File html = validateOutputFile(createOutputPath(descriptor.getProject(), null, “.html”,
null, flags.isFatalOnly()));
File xml = validateOutputFile(createOutputPath(descriptor.getProject(), null, DOT_XML,
null, flags.isFatalOnly()));
try {
flags.getReporters().add(Reporter.createHtmlReporter(client, html, flags));
flags.getReporters().add(Reporter.createXmlReporter(client, xml, false));
} catch (IOException e) {
throw new GradleException(e.getMessage(), e);
}
}
if (!report || fatalOnly) {
flags.setQuiet(true);
}
flags.setWriteBaselineIfMissing(report && !fatalOnly);
Pair<List, LintBaseline> warnings;
try {
warnings = client.run(registry);
} catch (IOException e) {
throw new GradleException(“Invalid arguments.”, e);
}
if (report && client.haveErrors() && flags.isSetExitCode()) {
abort(client, warnings.getFirst(), isAndroid);
}
return warnings;
}
我们在这个方法中看到了warnings = client.run(registry),这就是Lint扫描得到的结果集。总结一下这个方法中做了哪些准备工作用于Lint扫描: 1. 创建IssueRegistry,包含了Lint内建的BuiltinIssueRegistry; 2. 创建LintCliFlags; 3. 创建LintGradleClient,这里面传入了一大堆参数,都是从Gradle Android 插件的运行环境中获得; 4. 同步LintOptions,这一步是将我们在build.gralde中配置的一些Lint相关的DSL属性,同步设置给LintCliFlags,给真正的Lint 扫描核心库使用; 5. 执行Client的Run方法,开始扫描。
扫描的过程上面的原理部分已经分析了,现在我们思考一下如何构造增量扫描的任务。我们已经分析到扫描的关键点是client.run(registry),所以我们需要构造一个Client来执行扫描。一个想法是通过反射来获取Client的各个参数,当然这个思路是可行的,我们也验证过实现了一个用反射方式构造的Client。但是反射这种方式有个问题是丢失了从Gradle任务执行到调用Lint API开始扫描这一过程中做的其他事情,侵入性比较高,所以我们最终采用继承LintBaseTask自行实现增量扫描任务的方式。
FindBugs扫描简介
FindBugs是一个静态分析工具,它检查类或者JAR 文件,通过Apache的BCEL库来分析Class,将字节码与一组缺陷模式进行对比以发现问题。FindBugs自身定义了一套缺陷模式,目前的版本3.0.1内置了总计300多种缺陷,详细可参考官方文档。FindBugs作为一个扫描的工具集,可以非常灵活的集成在各种编译工具中。接下来,我们主要分析在Gradle中FindBugs的相关内容。
Gradle FindBugs任务属性分析
在Gradle的内置任务中,有一个FindBugs的Task,我们看一下官方文档对Gradle属性的描述。
选几个比较重要的属性介绍:
- Classes 该属性表示我们要分析的Class文件集合,通常我们会把编译结果的Class目录用于扫描。
- Classpath 分析目标集合中的Class需要用到的所有相关的Classes路径,但是并不会分析它们自身,只用于扫描。
- Effort 包含MIN,Default,MAX,级别越高,分析得越严谨越耗时。
- findBugs ClasspathFinbugs库相关的依赖路径,用于配置扫描的引擎库。
- reportLevel 报告级别,分为Low,Medium,High。如果为Low,所有Bug都报告,如果为High,仅报告High优先级。
- Reports 扫描结果存放路径。
通过以上属性解释,不难发现要FindBugs增量扫描,只需要指定Classes的文件集合就可以了。
FindBugs任务增量扫描分析
在做增量扫描任务之前,我们先来看一下FindBugs IDEA插件是如何进行单个文件扫描的。
我们选择Analyze Current File对当前文件进行扫描,扫描结果如下所示:
可以看到确实只扫描了一个文件。那么扫描到底使用了哪些输入数据呢,我们可以通过扫描结果的提示清楚看到:
这里我们能看到很多有用的信息:
- 源码目录列表,包含了工程中的Java目录,res目录,以及编译过程中生成的一些类目录;
- 需要分析的目标Class集合,为编译后的Build目录下的当前Java文件对应的Class文件;
- Aux Classpath Entries,表示分析上面的目标文件需要用到的类路径。
所以,根据IDEA的扫描结果来看,我们在做增量扫描的时候需要解决上面这几个属性的获取。在前面我们分析的属性是Gradle在FindBugs lib的基础上,定义的一套对应的Task属性。真正的FinBugs属性我们可以通过官方文档或者源码中查到。
配置AuxClasspath
前文提到,ClassPath是用来分析目标文件需要用到的相关依赖Class,但本身并不会被分析,所以我们需要尽可能全的找到所有的依赖库,否则在扫描的时候会报依赖的类库找不到。
FileCollection buildClasses = project.fileTree(dir: “ p r o j e c t . b u i l d D i r / i n t e r m e d i a t e s / c l a s s e s / {project.buildDir}/intermediates/classes/ project.buildDir/intermediates/classes/{variant.flavorName}/${variant.buildType.name}”,includes: classIncludes)
FileCollection targetClasspath = project.files()
GradleUtils.collectDepProject(project, variant).each { targetProject ->
GradleUtils.getAndroidVariants(targetProject).each { targetVariant ->
if (targetVariant.name.capitalize().equalsIgnoreCase(variant.name.capitalize())) {
targetClasspath += targetVariant.javaCompile.classpath
}
}
}
classpath = variant.javaCompile.classpath + targetClasspath + buildClasses
FindBugs增量扫描误报优化
对于增量文件扫描,参与的少数文件扫描在某些模式规则上可能会出现误判,但是全量扫描不会有问题,因为参与分析的目标文件是全集。举一个例子:
class A {
public static String buildTime = “”;
…
}
静态变量buildTime会被认为应该加上Final,但是其实其他类会对这个变量赋值。如果单独扫描类A文件,就会报缺陷BUG_TYPE_MS_SHOULD_BE_FINAL。我们通过Findbugs-IDEA插件来扫描验证,也同样会有一样的问题。要解决此类问题,需要找到谁依赖了类A,并且一同参与扫描,同时也需要找出类A依赖了哪些文件,简单来说:需要找出与类A有直接关联的类。为了解决这个问题,我们通过ASM来找出相关的依赖,具体如下:
void findAllScanClasses(ConfigurableFileTree allClass) {
allScanFiles = [] as HashSet
String buildClassDir = “
p
r
o
j
e
c
t
.
b
u
i
l
d
D
i
r
/
{project.buildDir}/
project.buildDir/FINDBUGS_ANALYSIS_DIR/$FINDBUGS_ANALYSIS_DIR_ORIGIN”
Set moduleClassFiles = allClass.files
for (File file : moduleClassFiles) {
String[] splitPath = file.absolutePath.split(“
F
I
N
D
B
U
G
S
A
N
A
L
Y
S
I
S
D
I
R
/
FINDBUGS_ANALYSIS_DIR/
FINDBUGSA?NALYSISD?IR/FINDBUGS_ANALYSIS_DIR_ORIGIN/”)
if (splitPath.length > 1) {
String className = getFileNameNoFlag(splitPath[1],’.’)
String innerClassPrefix = “”
if (className.contains(’$’)) {
innerClassPrefix = className.split(’\$’)[0]
}
if (diffClassNamePath.contains(className) || diffClassNamePath.contains(innerClassPrefix)) {
allScanFiles.add(file)
} else {
Iterable classToResolve = new ArrayList()
classToResolve.add(file.absolutePath)
Set dependencyClasses = Dependencies.findClassDependencies(project, new ClassAcceptor(), buildClassDir, classToResolve)
for (File dependencyClass : dependencyClasses) {
if (diffClassNamePath.contains(getPackagePathName(dependencyClass))) {
allScanFiles.add(file)
break
}
}
}
}
}
}
通过以上方式,我们可以解决一些增量扫描时出现的误报情况,相比IDEA工具,我们更进一步降低了扫描部分文件的误报率。
CheckStyle增量扫描
相比而言,CheckStyle的增量扫描就比较简单了。CheckStyle对源码扫描,根据官方文档各个属性的描述,我们发现只要指定Source属性的值就可以指定扫描的目标文件。
void configureIncrementScanSource() {
boolean isCheckPR = false
DiffFileFinder diffFileFinder
if (project.hasProperty(CodeDetectorExtension.CHECK_PR)) {
isCheckPR = project.getProperties().get(CodeDetectorExtension.CHECK_PR)
}
if (isCheckPR) {
diffFileFinder = new DiffFileFinderHelper.PRDiffFileFinder()
} else {
diffFileFinder = new DiffFileFinderHelper.LocalDiffFileFinder()
}
source diffFileFinder.findDiffFiles(project)
if (getSource().isEmpty()) {
println ‘没有找到差异java文件,跳过checkStyle检测’
}
}
经过全量扫描和增量扫描的优化,我们整个扫描效率得到了很大提升,一次PR构建扫描效率整体提升50%+。优化数据如下:
扫描工具通用性
解决了扫描效率问题,我们想怎么让更多的工程能低成本的使用这个扫描插件。对于一个已经存在的工程,如果没有使用过静态代码扫描,我们希望在接入扫描插件后续新增的代码能够保证其经过增量扫描没有问题。而老的存量代码,由于代码量过大增量扫描并没有效率上的优势,我们希望可以使用全量扫描逐步解决存量代码存在的问题。同时,为了配置工具的灵活,也提供配置来让接入方自己决定选择接入哪些工具。这样可以让扫描工具同时覆盖到新老项目,保证其通用。所以,要同时支持配置使用增量或者全量扫描任务,并且提供灵活的选择接入哪些扫描工具。
扫描完整性保证
前面提到过,在FindBugs增量扫描可能会出现因为参与分析的目标文件集不全导致的某类匹配规则误报,所以在保证扫描效率的同时,也要保证扫描的完整性和准确性。我们的策略是以增量扫描为主,全量扫描为辅,PR提交使用增量扫描提高效率,在CI配置Daily Build使用全量扫描保证扫描完整和不遗漏。
我们在自己的项目中实践配置如下:
apply plugin: ‘code-detector’
codeDetector {
// 配置静态代码检测报告的存放位置
reportRelativePath = rootProject.file(‘reports’)
/**
- 远程仓库地址,用于配置提交pr时增量检测
*/
upstreamGitUrl = “ssh://git@xxxxxxxx.git”
checkStyleConfig {
/**
- 开启或关闭 CheckStyle 检测
- 开启:true
- 关闭:false
/
enable = true
/* - 出错后是否要终止检查
- 终止:false
- 不终止:true。配置成不终止的话 CheckStyleTask 不会失败,也不会拷贝错误报告
/
ignoreFailures = false
/* - 是否在日志中展示违规信息
- 显示:true
- 不显示:false
/
showViolations = true
/* - 统一配置自定义的 checkstyle.xml 和 checkstyle.xsl 的 uri
- 配置路径为:
-
"${checkStyleUri}/checkstyle.xml" -
"${checkStyleUri}/checkstyle.xsl" - 默认为 null,使用 CodeDetector 中的默认配置
*/
checkStyleUri = rootProject.file(‘codequality/checkstyle’)
}
findBugsConfig {
/**
- 开启或关闭 Findbugs 检测
- 开启:true
- 关闭:false
/
enable = true
/* - 可选项,设置分析工作的等级,默认值为 max
- min, default, or max. max 分析更严谨,报告的 bug 更多. min 略微少些
/
effort = “max”
/* - 可选项,默认值为 high
- low, medium, high. 如果是 low 的话,那么报告所有的 bug
*/
最后
Android学习是一条漫长的道路,我们要学习的东西不仅仅只有表面的 技术,还要深入底层,弄明白下面的 原理,只有这样,我们才能够提高自己的竞争力,在当今这个竞争激烈的世界里立足。
人生不可能一帆风顺,有高峰自然有低谷,要相信,那些打不倒我们的,终将使我们更强大,要做自己的摆渡人。
我把自己这段时间整理的Android最重要最热门的学习方向资料放在了我的GitHub,里面还有不同方向的自学编程路线、面试题集合/面经、及系列技术文章等。
下面的 原理,只有这样,我们才能够提高自己的竞争力,在当今这个竞争激烈的世界里立足。
人生不可能一帆风顺,有高峰自然有低谷,要相信,那些打不倒我们的,终将使我们更强大,要做自己的摆渡人。
我把自己这段时间整理的Android最重要最热门的学习方向资料放在了我的GitHub,里面还有不同方向的自学编程路线、面试题集合/面经、及系列技术文章等。
资源持续更新中,欢迎大家一起学习和探讨。