PMD：自动化源码分析和 bug 检测

PMD 这款开源的自动化 Java 源码分析和 bug 检测工具刚刚发布了 4.0 版。InfoQ 就 PMD 所提供的功能与该项目的负责人 Tom Copeland 进行了深入探讨。

PMD 是一个静态 Java 源码分析工具，从概念上讲与 Checkstyle ， FindBugs 和 Coverity 很相似。它从 Java 代码中可以搜索出那些效率低下的代码，bug 和常见的编程问题。它可以通过 IDE 的集成在开发环境中使用，也可以和 Ant 或 Maven 构建直接交互。PMD 使用规则（rules）来执行源码分析，这些规则可以被组织为规则集（rulesets）。InfoQ 就具体细节向 Cohen 进行了提问，Cohen 回答说：

这些规则是按照它们所检查的问题进行分类的——“无用代码”的规则集检查那些没有用到的局部变量，私有变量和方法；“严格异常”的规则集检查那些抛出异常的方法和捕获如 NullPointerException 等异常的代码块。还有一些是特定于代码库的规则集。例如， JUnit 规则集用来在 JUnit 测试套件中寻找常见的问题（如使用了assert(x==null) 而不是``assertNull(x)）等。当前我们已经有了 225 条规则，还有更多的规则正在制定中。当有人想到了新的规则并提交补丁或是请求时，新规则就会被添加进来。每一条规则都有一系列相关的单元测试，来减少那些比较明显的“假阳性（false positive）”的数量；我们希望这也会使得 PMD 产生的检查报告保持相当的整洁。

InfoQ 问到在 4.0 中有哪些新特性时，Copeland 回答说，最大的新特性就是 Java 5。PMD 在 Java 5 的基础上进行了重写，现在已经是默认对基于 Java 5 的源码进行分析了——当然 1.4 和之前的代码一样可以支持。在性能上也有了提升，同时还有些 bug 的修复和新的代码检查规则。当被问到 PMD 下一步比较大的计划是什么时，Copeland 答道：

类型解析将是一块比较重要的内容。目前 PMD 只能一次检查一个源码文件，这就对它的规则作用区域有所限制。我们的一个核心开发人员 Allan Caplan 已经在这个方向做了大量的工作，他用了 ASM 这个字节码操作库来解析类文件依赖，我们认为这将减少“假阳性”的数量，发现更多真正的问题。我们现在已经有了一个数据流分析层，当类型解析完成之后，它就能用得上这个功能了。这是多么美妙的事情啊！

查看英文原文： PMD: Automated source code analysis and bug detection