An�lise Est�tica de C�digo com FindBugs

Introduç�o

A Verificaç�o de software se destina a mostrar que o projeto do software atende � sua especificaç�o, enquanto que validaç�o se destina a mostrar que o software realiza exatamente o que o usu�rio espera que ele faça.

O objetivo principal do processo de V&V � estabelecer confiança de que o sistema de software est� adequado ao seu prop�sito. O n�vel de confiabilidade exigido depende de fatores como funç�o do software, expectativas do usu�rio, ambiente e mercado.

Segundo Sommerville, existem duas abordagens complementares para a verificaç�o e validaç�o do sistema:

- Inspeç�es de software analisam e verificam representaç�es de sistema como documentos de requisitos, diagramas de projeto e c�digo fonte do programa. Revis�es de c�digo, an�lises automatizadas e verificaç�o formal s�o t�cnicas de V&V est�ticas.

Inspeç�es de software analisam e verificam representaç�es de sistema como documentos de requisitos, diagramas de projeto e c�digo fonte do programa. Revis�es de c�digo, an�lises automatizadas e verificaç�o formal s�o t�cnicas de V&V est�ticas.
Testes de software envolvem executar uma implementaç�o do software com dados de teste para examinar as sa�das e o comportamento operacional. O teste � uma t�cnica de V&V din�mica.

Por outro lado, verificaç�o formal consiste em validar ou invalidar a correç�o dos algoritmos subjacentes a um sistema com relaç�o a uma certa propriedade ou especificaç�o formal, utilizando m�todos formais.

As t�cnicas de inspeç�o de software podem somente verificar a correspond�ncia entre um programa e sua especificaç�o, isto indica que elas n�o podem demonstrar que o software � �til operacionalmente, nem utiliz�-las para verificar propriedades emergentes como desempenho e confiabilidade.

O FindBugs � uma ferramenta de c�digo aberto utilizado pelos desenvolvedores de software para fazer uma auditoria ou inspeç�o no c�digo de forma automatizada. Esta ferramenta examina as sua classes procurando por poss�veis problemas no c�digo durante a fase de desenvolvimento. O FindBugs analisa o c�digo fonte ou mesmo o c�digo objeto (bytecode para programas Java) do programa procurando por padr�es conhecidos.

Instalaç�o

Segue abaixo a instalaç�o passo a passo do plugin FindBugs no seu ambiente de desenvolvimento Eclipse.

Primeiramente v� no menu Help e em seguida selecione a opç�o �Install New Software...�.

Figura 1: Primeiro passo na instalaç�o do FindBugs

Na janela que foi aberta digite o endereço do site do FindBugs. Ap�s isso aparecer� uma opç�o para marcar o FindBugs.

Figura 2: Inserindo o site para a instalaç�o do FindBugs

Marque a opç�o FindBugs e clique em Next. Ap�s isso a instalaç�o ser� iniciada. O usu�rio deve aguardar alguns minutos at� a operaç�o ser completada, como pode ser visto na tela abaixo:

Figura 3: Finalizando a instalaç�o do FindBugs

Por fim d� um Next e marque a opç�o �I accept the terms of license agreement�. Clique em Finish para completar a instalaç�o.

Utilizaç�o

Para utilizar o FindBugs � muito simples, basta ir no projeto, pacote ou classe em que deseja-se fazer a an�lise est�tica e clicar com o bot�o direito do mouse e ir no menu Find Bugs e na opç�o Find Bugs.

Figura 4: Executando o FindBugs

Ap�s isso tem-se um relat�rio completo de todas as anomalias existentes no pacote ou classe selecionada. Na figura abaixo a view Bug Explorer apresenta a exist�ncia de algumas anomalias para o projeto selecionado.

Figura 5: Relat�rios de bugs do FindBugs

O FindBugs � criterioso e apresenta um relat�rio bem interessante. Entre as informaç�es interessantes que o Find Bugs pode informar tem-se:

Acesso a refer�ncias null
Uso inapropriado de APIs
Overflow em vetores
Divis�o por zero
Campos est�ticos n�o declarados como final
Uma classe que sobrescreve o m�todo equals(Object) mas n�o sobrescreve o m�todo hashCode()
Um campo est�tico e final que referencia um vetor mut�vel
Entre muitos outros.

Atualmente a ferramenta FindBugs prov� suporte a mais de 250 padr�es de erros sendo mais de uma centena deles classificados como erros de correç�o. Al�m disso, permite que programadores escrevam seus pr�prios padr�es de erros.

Com o relat�rio exposto pelo FindBugs � poss�vel que os desenvolvedor, arquitetos e l�deres de projetos avaliem melhor o c�digo, o projeto e inclusive a equipe sob uma outra perspectiva, al�m de fornecer um feedback de onde os desenvolvedores est�o mais desatentos.

Relev�ncia dos Defeitos

Um estudo interessante foi realizado por Ara�jo Filho, Jos� de Souza e Valente que baseado em um estudo em cima da plataforma Eclipse conclu�ram que ao adotar ferramentas de an�lise est�tica, como o FindBugs, � fundamental que os desenvolvedores configurem e adaptem os tipos de defeitos reportados por tais ferramentas ao perfil do sistema que est� sendo analisado. Dessa forma, o n�mero de defeitos n�o-relevantes � ou falso positivos � reportados por tais ferramentas � substancialmente reduzido, chegando a ser inferior a 60% na maioria dos casos.

Outro artigo interessante foi proposto por Ayewah et al. que investigaram os defeitos reportados pela ferramenta FindBugs em tr�s sistemas de grande porte como Sun JDK, Glassfish e Google Java Code base. Este trabalho avaliou a qualidade dos defeitos reportados pelo FindBugs al�m de discutir os motivos pelos quais ferramentas de an�lise est�tica reportam muitos defeitos triviais e falsos positivos. No entanto, vale ressaltar que foram encontrados neste estudo em cima do JDK um n�mero de 10% de erros s�rios e 46% possu�ram algum impacto. Isso mostra como essa ferramenta tamb�m pode ser bem utilizada para encontrar defeitos que podem comprometer o sistema.

Conclus�o

Neste artigo procurou-se demonstrar conceitos, funcionamento, instalaç�o e tipos de resultados encontrados pela ferramenta de an�lise est�tica de c�digo FindBugs. Essa importante ferramenta auxilia os desenvolvedores a encontrar erros escondidos ou por muitas vezes que passam despercebidos nos c�digos feitos pelos programadores. O FindBugs apesar de encontrar diversos falsos positivos ainda encontra erros graves que podem comprometer um sistema, ajudando assim o desenvolvedor a manter a sua aplicaç�o mais est�vel e confi�vel.

Bibliografia

Jo�o Eduardo de Ara�jo Filho, S�lvio Jos� de Souza, Marco T�lio Valente. Os Defeitos Detectados pela Ferramenta de An�lise Est�tica FindBugs s�o Relevantes?
Nathaniel Ayewah et al. Evaluating static analysis defect warnings on production software. In 7th Workshop on Program Analysis for Software Tools and Engineering (PASTE), pages 1�8, 2007.
I. Sommerville. Engenharia de Software. Pearson Addison-Wesley, S�o Paulo, 8 edition, 2007.