问题标签 [findbugs]

我正在使用以下代码来初始化数据库连接：

而且我知道这样做是不好的做法，我也FindBugs违反了代码，并遇到了安全问题，如下所示： This code creates a database connect using a hardcoded, constant password. Anyone with access to either the source code or the compiled code can easily learn the password.

在没有这种安全漏洞的情况下初始化数据库连接的最佳方法是什么？

当我通过 Maven 在我的项目上运行FindBugs时，我得到了很多这些：

我该如何解决？在手册中找不到任何内容。

如果我在 servlet 中有以下代码：

如果我通过 FindBugs 运行 servlet，我希望得到警告OS_OPEN_STREAM，但我没有。如果我使用类似的方法打开文件系统上的任意文件（即不在类路径中），我会按预期收到 Findbugs 警告：

在第一个示例中，是否缺少警告是因为 Findbugs 缺少有效警告（即我应该在加载到 Properties 对象后在 finally 块中关闭流）还是有理由我不需要关闭流？

谢谢

富有的

Findbugs 报告了这一点：

这个 OptionalClass 是从我没有源代码的第三方 jar 引用的，并且我不希望对其进行 findbugs 分析。它指的是我的类路径或其他任何地方都没有的类。当我们的第三方jar以某种方式配置时，这个类可能在某些情况下使用。

有没有办法告诉 findbugs 忽略这个类？

请注意，它会完成分析并生成findbugs.xml报告，因此这是一个小问题。

我有一些我想与 FindBugs Maven 插件一起使用的自定义 FindBugs 检测器的一个不错的 JAR。有一种方法可以通过<pluginList>配置参数对插件执行此操作，但只接受本地文件、URL 或资源。

我发现这样做的唯一方法是以某种方式将我的 JAR 复制到本地文件（可能通过 Dependency 插件），然后配置 FindBugs 插件，如下所示：

但这不是很灵活。有没有办法将 Maven 的依赖管理功能与 FindBugs 的插件一起使用？我想使用这样的东西：

...但这只是覆盖了coreFindBugs 检测器。

我想在一个项目上运行 FindBugs，但我们仍然坚持使用 Java 1.4（而且我现在不会涉足政治...... :-}）。最新版本的 FindBugs 只能在 JRE 1.5+ 上运行，所以我想知道最后一个支持 1.4 的版本是哪个？

更新FindBugs v1.2.1 在 Java 1.4 上运行。

有一种产品可以运行多个报告来指示您可能拥有的不同代码库的质量。发现错误是报告之一。

它非常直观，并且是基于网络的。

就是想不起来叫什么了！请帮忙。

我有一个看起来与此类似的类，并且 findbugz 抱怨“从实例方法写入静态字段”（initialize()和killStaticfield()）。我无法在 ctor 中设置静态字段。

• 解决此问题的最佳方法是什么？

• 将 staticField 放入 AtomicReference 就足够了吗？

  /li>

请建议我是否可以使用没有 jar 文件作为输入的 findbug 工具！！。我正在使用已定制框架的 Android 手机，所以我不能使用 Eclipse 来构建我的代码（我不能使用 findbug 插件来编译）。所以我正在使用 findbug GUI。但是当我们创建新项目时，它需要 jar 文件、java 源代码、类档案。但是Android不支持jar文件，我们一般都是创建apk。所以我无法为 findbugs 提供输入。当您只有 java 源代码时，任何人都可以建议我如何使用 findbugs。提前致谢。

我有一个混合的 scala/java 项目 - 主要是 java。我想在我的 java 代码上使用 Findbugs，但是 scala 类给它带来了麻烦。所以我想将它们排除在 Findbugs 之外。到目前为止，我已经尝试在排除过滤器中列出 scala 类，但这没有帮助。我正在使用 maven codehaus findbugs 插件版本 2.3.1。

我得到的例外大多采取这种形式：