Я решил потестировать статический анализатор Java-кода IntelliJ IDEA и с его помощью проверил проект The Chemistry Development Kit. Здесь я приведу некоторые ошибки, которые я нашёл. Думаю, что часть из них характерна для Java-программ в целом, поэтому могут быть интересны.
The Chemistry Development Kit — это Java-библиотека с открытыми исходниками для решения задач хемоинформатики и биоинформатики. Когда я занимался биоинформатикой, мы активно её использовали. Проект разрабатывается уже более 20 лет, у него десятки авторов, и качество кода там очень неровное. Тем не менее, в проекте имеются юнит-тесты, а в pom.xml прописана интеграция с анализатором покрытия JaCoCo. Вдобавок там настроены плагины целых трёх статических анализаторов: FindBugs, PMD, Checkstyle. Тем интереснее проверить, какие же предупреждения остаются.
Статический анализатор Java-кода, встроенный в IntelliJ IDEA, не уступает специализированным инструментам статического анализа, а в чём-то и превосходит их. Кроме того, практически все возможности статического анализа доступны в Community Edition — бесплатной версии IDE с открытым исходным кодом. В частности, бесплатная версия выдаёт все предупреждения, описанные в этой статье.
По умолчанию статический анализ проводится постоянно в режиме редактирования кода, поэтому если вы пишете код в IntelliJ IDEA, то множество ошибок вы исправите буквально за секунды после того как их допустили, даже перед запуском тестов. Можно проверить и весь проект или его часть в пакетном режиме с помощью меню Analyze | Inspect Code либо запустить отдельную инспекцию с помощью Analyze | Run Inspection by Name. В этом случае становятся доступны некоторые инспекции, которые из-за трудоёмкости не работают в режиме редактирования. Впрочем, таких инспекций немного.
Множество инспекций IntelliJ IDEA сообщают не о баге, а скорее о неаккуратности в коде или предлагают более идиоматичную, красивую или быструю альтернативу. Это полезно, когда вы постоянно работаете в IDE. Однако в моём случае лучше начать с тех сообщений, которые предупреждают о реальных багах. В основном, интересна категория Java | Probable Bugs, хотя есть и другие категории, в которых стоит порыться, например, Numeric Issues.
Я расскажу только о некоторых интересных предупреждениях.
1. Унарный плюс
Унарных плюсов набралось аж 66 в проекте. Писать +1 вместо просто 1 иногда хочется для красоты. Однако в некоторых случаях унарный плюс вылезает, если вместо += написали =+:
int totalCharge1 = 0;
while (atoms1.hasNext()) {
totalCharge1 = +((IAtom) atoms1.next()).getFormalCharge();
}
Iterator<IAtom> atoms2 = products.atoms().iterator();
int totalCharge2 = 0;
while (atoms2.hasNext()) {
totalCharge2 = +((IAtom) atoms2.next()).getFormalCharge();
}Очевидная опечатка, в результате которой игнорируются все итерации цикла кроме последней. Может показаться странным, что написано не «пробел равно плюс пробел», а «пробел равно пробел плюс». Однако странность исчезает, если покопаться в истории. Изначально «равно» и «плюс» действительно были рядом, но в 2008 году прошлись автоматическим форматтером, и код изменился. Тут, кстати, мораль для статических анализаторов: выдавать предупреждения на основании странного форматирования разумно, но если код подвергается автоматическому форматированию, предупреждения исчезнут, а баги останутся.
2. Целочисленное деление с приведением к дробному
Довольно обидная ошибка, но статические анализаторы её хорошо находят. Вот пример:
angle = 1 / 180 * Math.PI;К сожалению, угол получился вовсе не один градус, а ноль. Похожая ошибка:
Integer c1 = features1.get(key);
Integer c2 = features2.get(key);
c1 = c1 == null ? 0 : c1;
c2 = c2 == null ? 0 : c2;
sum += 1.0 - Math.abs(c1 - c2) / (c1 + c2); // integer division in floating-point contextПохоже, оба числа c1 и c2 неотрицательные, а, значит, модуль разности никогда не превысит сумму. Поэтому результат будет 0, если оба числа ненулевые, либо 1, если одно из них 0.
3. Вызов Class.getClass()
Иногда люди вызывают метод getClass() у объекта типа Class. В результате получается опять же объект типа Class с константным значением Class.class. Обычно это ошибка: getClass() вызывать не надо. Например, вот:
public <T extends ICDKObject> T ofClass(Class<T> intf, Object... objects) {
try {
if (!intf.isInterface())
throw new IllegalArgumentException("expected interface, got " +
intf.getClass());
...Если случится исключение, сообщение о нём будет абсолютно бесполезно. Кстати, ошибки в процедуре обработки ошибок часто находятся статическим анализом в старых проектах: как правило, процедуры обработки ошибок тестируются хуже всего.
4. Вызов toString() на массиве
Это классика жанра: toString() для массивов не переопределён, и его результат довольно бесполезен. Обычно такое можно встретить в диагностических сообщениях.
int[] dim = {0, 0, 0};
...
return "Dim:" + dim + " SizeX:" + grid.length + " SizeY:" + grid[0].length + " SizeZ:"...Глазами проблему заметить сложно, потому что здесь dim.toString() неявный, но конкатенация строк делегирует к нему. Сразу же предлагается исправление — обернуть в Arrays.toString(dim).
5. Коллекция читается, но не заполняется
Такое тоже нередко встречается в кодовой базе, не проходящей постоянную проверку статическим анализатором. Вот простой пример:
final Set<IBond> bondsToHydrogens = new HashSet<IBond>();
// ... 220 строк логики, но bondsToHydrogens нигде не заполняется!
for (IBond bondToHydrogen : bondsToHydrogens) // в цикл не зайдём
sgroup.removeBond(bondToHydrogen);Очевидно, заполнение просто пропустили. В статических анализаторах имеются более простые проверки, которые говорят о неиспользуемой переменной, но здесь переменная используется, поэтому они молчат. Нужна более умная инспекция, которая знает про коллекции.
6. Наоборот: заполняем, но не читаем
Обратные случаи тоже возможны. Здесь пример с массивом:
int[] tmp = new int[trueBits.length - 1];
System.arraycopy(trueBits, 0, tmp, 0, i);
System.arraycopy(trueBits, i + 1, tmp, i, trueBits.length - i - 1);Инспекция знает, что третий аргумент метода arraycopy используется только для записи массива, а после этого массив никак не используется. Судя по логике кода, пропущена строка trueBits = tmp;.
7. Сравнение Integer по ==
Это коварный баг, потому что малые значения объектов Integer кэшируются, и всё может неплохо работать, пока в один прекрасный день число не превысит 127. Такая проблема может совсем не бросаться в глаза:
for (int a = 0; a < cliqueSize; a++) {
for (int b = 0; b < vecSize; b += 3) {
if (cliqueList.get(a) == compGraphNodes.get(b + 2)) {
cliqueMapping.add(compGraphNodes.get(b));
cliqueMapping.add(compGraphNodes.get(b + 1));
}
}
}Ну, казалось бы, сравниваются какие-то объекты в каких-то списках, может, всё нормально. Надо быть внимательным, чтобы увидеть, что в этих списках лежат объекты типа Integer.
8. Дубликат в Map
В этой инспекции картинка стоит тысячи слов. Видите ошибку?
9. Не используется результат метода
Результат некоторых методов глупо не использовать, о чём IDEA с готовностью сообщает:
currentChars.trim();Вероятно, имелось в виду currentChars = currentChars.trim();. Так как строки в Java неизменяемые, если результат не переприсвоить, ничего не произойдёт. Встречается ещё, например, str.substring(2).
Кстати, это довольно сложная инспекция. Помимо заранее подготовленного списка методов мы иногда пытаемся автоматически определять методы, результат которых использовать стоит. Тут требуется межпроцедурный анализ, причём как по исходному тексту, так и по байткоду библиотек. И всё это делается на лету в процессе редактирования кода!
10. Недостижимые ветки switch
// if character is out of scope don't
if (c > 128)
return 0;
switch (c) {
case '\u002d': // hyphen
case '\u2012': // figure dash
case '\u2013': // en-dash
case '\u2014': // em-dash
case '\u2212': // minus
return '-'; // 002d
default:
return c;
}Так как мы исключили символы с кодом больше 128, ветки \u2012-\u2212 недостижимы. Кажется, исключать не стоило.
11. Недостижимое условие
Совершенно чудесная проблема в цепочке условий:
if (oxNum == 0) {
if (hybrid.equals("sp3")) { ... } else
if (hybrid.equals("sp2")) return 47;
} else if (oxNum == 1 && hybrid.equals("sp3"))
return 47;
else if ((oxNum == 2 && hybrid.equals("sp3"))
|| (oxNum == 1 && hybrid.equals("sp2"))
|| (oxNum == 0 && hybrid.equals("sp"))) // вот это вот недостижимо
return 48;
else if ((oxNum == 3 && hybrid.equals("sp3"))
|| (oxNum >= 2 && hybrid.equals("sp2"))
|| (oxNum >= 1 && hybrid.equals("sp"))) return 49;В сложной условной логике такое встречается нередко: мы проверяем условие, которое не может быть истинным, потому что его фрагмент уже проверили выше. Здесь мы имеем отдельную ветку oxNum == 0, а иначе проверяем oxNum == 0 && hybrid.equals("sp"), чего, конечно, быть не может.
12. Пишем в массив нулевой длины
Иногда IntelliJ IDEA заметит, если вы пишете в массив за пределами его размера:
Point3d points[] = new Point3d[0]; // завели массив на 0 элементов
if (nwanted == 1) {
points = new Point3d[1];
points[0] = new Point3d(aPoint);
points[0].add(new Vector3d(length, 0.0, 0.0));
} else if (nwanted == 2) {
// а тут пытаемся в него писать — исключение неминуемо
points[0] = new Point3d(aPoint);
points[0].add(new Vector3d(length, 0.0, 0.0));
points[1] = new Point3d(aPoint);
points[1].add(new Vector3d(-length, 0.0, 0.0));
}13. Проверка длины после обращения по индексу
Ещё одна частая проблема с порядком действий и опять во время обработки ошибок:
public void setParameters(Object[] params) throws CDKException {
if (params.length > 1) {
throw new CDKException("...");
}
if (!(params[0] instanceof Integer)) { // раз прочитали нулевой элемент
throw new CDKException("The parameter must be of type Integer");
}
if (params.length == 0) return; // то длина точно не нуль
maxIterations = (Integer) params[0];
}В случае пустого массива автор кода хотел выйти тихо, но из-за проверки выйдет, громко бахнув ArrayIndexOutOfBoundsException. Очевидно, порядок проверок нарушен.
14. Проверка на null после обращения
И опять нарушен порядок действий, на этот раз с null'ом:
while (!line.startsWith("frame:") && input.ready() && line != null) {
line = input.readLine();
logger.debug(lineNumber++ + ": ", line);
}IDEA пишет, что line != null всегда истинно. Случается, что проверка действительно избыточна, но здесь код выглядит так, будто null действительно может быть.
15. Дизъюнкция вместо конъюнкции
Люди часто путают логические операторы И и ИЛИ. Проект CDK — не исключение:
if (rStereo != 4 || pStereo != 4 || rStereo != 3 || pStereo != 3) { ... }Чему бы ни были равны rStereo и pStereo, понятно, что они не могут быть равны четвёрке и тройке одновременно, поэтому такое условие всегда истинно.
16. И снова дизъюнкция вместо конъюнкции
Похожая ошибка, но ловится другим сообщением:
if (getFirstMapping() != null || !getFirstMapping().isEmpty()) { ... }В правую часть мы можем попасть только если getFirstMapping() вернул null, но в этом случае нам гарантирован NullPointerException, о чём IDEA и предупреждает. Кстати, тут мы полагаемся на стабильность результатов метода getFirstMapping(). Иногда мы используем эвристики, но здесь стабильность прямо проанализирована. Так как класс финальный, метод не может быть переопределён. IDEA проверяет его тело return firstSolution.isEmpty() ? null : firstSolution и определяет, что стабильность сводится к стабильности метода Map#isEmpty, который заранее проаннотирован как стабильный.
17. Иерархия интерфейсов и instanceof
Когда проверяете объект на принадлежность какому-либо интерфейсу, не забывайте, что интерфейсы могут наследовать друг друга:
if (object instanceof IAtomContainer) {
root = convertor.cdkAtomContainerToCMLMolecule((IAtomContainer) object);
} else if (object instanceof ICrystal) {
root = convertor.cdkCrystalToCMLMolecule((ICrystal) object);
} ...Интерфейс ICrystal расширяет интерфейс IAtomContainer, поэтому вторая ветка заведомо недостижима: если сюда придёт кристалл, он попадёт в первую ветку.
18. Обход пустого списка
Вероятно, автор этого кода не очень знаком с языком Java:
List<Integer> posNumList = new ArrayList<Integer>(size);
for (int i = 0; i < posNumList.size(); i++) {
posNumList.add(i, 0);
}Параметр size в ArrayList указывает изначальный размер внутреннего массива. Это используется для оптимизации, чтобы уменьшить число аллокаций, если вы знаете заранее, сколько туда сложить элементов. При этом фактически элементы в списке не появляются, и метод size() возвращает 0. Поэтому следующий цикл с попыткой инициализировать элементы списка нулями совершенно бесполезен.
19. Не забываем инициализировать поля
Анализатор особым образом проверяет конструкторы, учитывая инициализаторы полей. Благодаря этому нашлась такая ошибка:
public class IMatrix {
public double[][] realmatrix;
public double[][] imagmatrix;
public int rows;
public int columns;
public IMatrix(Matrix m) {
rows = m.rows;
columns = m.columns;
int i, j;
for (i = 0; i < rows; i++)
for (j = 0; j < columns; j++) {
realmatrix[i][j] = m.matrix[i][j]; // NullPointerException гарантирован
imagmatrix[i][j] = 0d;
}
}
}Несмотря на то что поля публичные, здесь точно никто не мог вклиниться и инициализировать их перед конструктором. Поэтому IDEA смело выдаёт предупреждение, что обращение к элементу массива вызовет NullPointerException.
20. По два раза не повторять
Повторные условия тоже случаются нередко. Вот пример:
if (commonAtomCount > vfMCSSize && commonAtomCount > vfMCSSize) {
return true;
}Такие баги коварны, потому что никогда не знаешь, второе условие просто лишнее или автор хотел проверить что-то другое. Если это не исправить сразу, потом может быть тяжело разобраться. Это ещё одна причина, почему статический анализ надо использовать постоянно.
Я сообщил о некоторых из этих багов в баг-трекер проекта. Любопытно, что когда авторы проекта исправили часть, они сами воспользовались анализатором IntelliJ IDEA, нашли другие проблемы, о которых я не писал, и тоже стали их исправлять. Я считаю это хорошим знаком: авторы осознали важность статического анализа.