Checkstyle 与 PMD

Question

我们正在将静态分析工具引入到 Java 产品的构建系统中。 我们使用的是 Maven2，因此 Checkstyle 和 PMD 集成免费。 然而，在执行基本样式规则方面，这两个工具之间的功能似乎有很大的重叠。

使用这两者有好处吗？ 如果其中一种工具有效的话，我不想维护两种工具。 如果我们选择其中一种，我们应该使用哪一种，为什么？

我们还计划使用 FindBugs。 我们还应该考虑其他静态分析工具吗？

更新： 共识似乎是 PMD 优于 CheckStyle。 我没有看到使用两者的充分理由，而且我不想维护 2 组规则文件，因此我们可能会专门针对 PMD。 我们还将引入 FindBugs，也许最终还会引入 Macker 来执行架构规则。

Answer 1

您绝对应该使用 FindBugs。 根据我的经验，误报率非常低，即使是它报告的最不重要的警告在某种程度上也值得解决。

至于 Checkstyle 与 PMD，我不会使用 Checkstyle，因为它几乎只关心样式。 根据我的经验，Checkstyle 会报告大量完全不相关的事情。 另一方面，PMD 还能够指出有问题的编码实践，并且其输出通常更相关和有用。

Answer 2

两个软件都很有用。 Checkstyle 将在编程过程中帮助您检查您的编码风格，即大括号、命名等。事情很简单，但数量却非常多！

PMD 将帮助您检查更复杂的规则（例如在类设计期间），或者检查更特殊的问题（例如正确实现克隆功能）。 简单来说，PMD 会检查您的编程风格。

但是，这两种软件都存在类似的规则，有时很难解释。 如果配置不好，您可能会检查两次或两次相反的事情，即“删除无用的构造函数”和“始终一个构造函数”。

Answer 3

如果我们选择一种，我们应该使用哪一种，为什么？

这些工具并不相互竞争，而是互补的，应该同时使用。

约定类型（Checkstyle）是使人们能够一起工作并释放创造力的粘合剂，而不是花费时间和精力去理解不一致的代码。

Checkstyle 示例：

• 有关于公共方法的 javadoc 吗？
• 该项目是否遵循 Sun 命名约定？
• 代码编写的格式是否一致？

PMD 提醒您不好的做法：

• 捕获异常而不做任何事情
• 死代码
• 太多复杂的方法
• 直接使用实现而不是接口
• 实现 hashcode() 方法而不使用 not equals(Object object) 方法

源：
http://www.sonarsource.org/what-makes-checkstyle-pmd -findbugs-and-macker-complementary/

Answer 4

我们同时使用：

• Checkstyle 来确保团队中的每个人都以类似的方式编写代码
• PMD 来查找有问题的代码区域和下一个重构目标

Answer 5

如果您的主要使用地点是在 Eclipse 中进行开发，那么来自 Instantiations 的 CodePro 将是最好的。 早些时候它是一个商业工具，但现在 Google 购买了 Instantiations，因此 CodePro analytix 现在是免费的。

请查看 http://code.google.com/javadevtools/download-codepro.html

Answer 6

如果您查看了 Checkstyle、PMD 和 Findbugs 规则列表，您会发现这三者都提供了有价值的输出，并且这三者在一定程度上有重叠，并且还带来了自己独特的规则。 这就是像 Sonar 这样的工具使用这三种工具的原因。

也就是说，Findbugs 具有最具体或利基的规则（例如“可疑的 IllegalMonitorStateException 捕获” - 您可能会多久遇到一次？），因此它可以在很少或没有配置的情况下使用，并且应该认真对待它的警告。 对于 Checkstyle 和 PMD，规则更加通用并且与样式相关，因此它们应该仅与自定义配置文件一起使用，以使团队免受大量不相关反馈的影响（“第 5 行的制表符”、“第 6 行的制表符”、 “第 7 行的 Tab 字符”...你明白了）。 它们还提供了强大的工具来编写您自己的高级规则，例如 Checkstyle DescendentToken 规则。

当使用这三个工具时（特别是使用像 Sonar 这样的工具），它们都应该单独配置（至少需要几天时间来覆盖所有规则），同时注意防止重复（所有三个工具都检测到 hashCode() 已被配置）。例如，被覆盖并且 equals() 不被覆盖）。

总之，如果您认为静态代码分析有价值，那么拒绝这三者中任何一个提供的价值都是没有意义的，但是要使用这三者，您必须投入时间来配置它们，以便为您提供可用的反馈。

Answer 7

Sonar (http://www.sonarsource.org/) 是一个非常有用的开放平台，用于管理代码质量，包括 Checkstyle、PMD、Findbugs 等。

这也表明这三种工具都有其存在的权利......

Answer 8

这两种工具都是可配置的，并且可以做几乎相同的事情。 也就是说，如果我们谈论的是开箱即​​用的东西，就会有很多重叠，但也有不同的规则/检查。 例如，Checkstyle 对检查 Javadoc 和查找幻数等提供了更强的支持。 此外，Checkstyle还有一个“导入控制”功能，看起来与Macker的功能类似（我没有使用过Macker）。

如果某些对您来说很重要的事情是 Checkstyle 开箱即用而 PMD 没有，您可能会考虑仅包含这些检查的最小 Checkstyle 配置。 然后制定一个策略，使 Checkstyle 配置无法增长，只需​​在使用自定义 PMD 规则实现类似功能时删除检查即可。

另请考虑，如果您确定 Checkstyle“导入控制”功能涵盖了您想要从 Macker 获得的功能，那么您可以实现 PMD/Checkstyle 而不是 PMD/Macker。 无论哪种方式，它都是两个工具，但使用 Checkstyle，您将获得 PMD 无法“免费”开箱即用的功能。

Answer 9

Checkstyle和PMD都擅长检查编码标准并且易于扩展。
但是 PMD 有额外的规则来检查圈复杂度、Npath 复杂度等，这允许您编写健康的代码。

使用 PMD 的另一个优点是 CPD（复制/粘贴检测器）。它可以找出项目之间的代码重复，并且不受 JAVA 的限制。它也适用于 JSP。
Neal Ford 对指标驱动的敏捷开发做了很好的演示，其中讨论了许多有助于 Java/Java EE 开发的工具

Answer 10

而10年后...
2018 年我全部使用了 Checkstyle、PMD 和 FindBugs。

从FindBugs开始。 也许稍后会添加 PMD 和 Checkstyle。

永远不要盲目执行默认规则！

步骤：

• 在一个具有大量代码的项目上运行一个具有默认规则的工具，
• 使规则适应该项目，注释掉无用的规则，并用一些注释重点
• 关注容易实现的规则（NPE、记录器检查、未关闭的资源检查等）。 .）
• 对您认为有价值的规则进行一些修复（一次一个！）
• 对每个工具执行此操作，但不要一次全部执行！
• 重复此过程

理想情况下，每个项目都可以有单独的规则。
我喜欢通过构建（通过 Maven 插件）运行规则，一旦我知道项目通过了我定义的所有规则，就会因规则错误而失败。
这迫使开发人员采取行动，因为报告还不够。
从那时起，您的项目几乎是防弹的，您甚至可以稍后添加更多规则和/或编写自定义规则。

Answer 11

我发现 Checkstyle 和 PMD 最适合解决样式问题和简单明显的编码错误。 尽管我发现我喜欢使用 Eclipse，而且它提供的所有警告更适合此目的。 我们通过使用共享首选项并将其标记为实际错误来强制执行某些内容。 这样，他们一开始就不会被签入。

我强烈推荐的是使用 FindBugs。 因为它在字节码级别工作，所以它可以检查在源级别不可能的事情。 虽然它吐出了相当多的垃圾，但它在我们的代码中发现了许多实际且重要的错误。

Answer 12

到目前为止我还没有看到的一点是，IDE 插件可以在代码上强制执行 CheckStyle 规则集，而 PMD 插件只会报告违规情况。 例如，在多个编程团队的多站点项目中，积极执行标准而不仅仅是报告标准非常重要。

这两个工具都有可用于 IntelliJ、NetBeans 和 Eclipse 的插件（在我看来，这涵盖了大多数用法）。 我对 NetBeans 不太熟悉，所以只能评论一下 IntelliJ 和 Eclipse。

不管怎样，IntelliJ 和 Eclipse 的 PMD 插件将根据项目代码库中的 PMD 违规生成按需报告。

另一方面，CheckStyle 插件将动态突出显示违规行为，并且可以（至少对于 IntelliJ，我对 Eclipse 的经验较少）配置为自动转换一些问题（例如，对于“OneStatementPerLine”，将放置 CR-LF在语句之间，对于“NeedBraces”，将在缺少的地方添加大括号，等等）。 显然，只有更简单的违规行为可以自动修复，但它仍然对遗留项目或位于多个位置的项目有帮助。

PMD 的“按需”意味着开发人员必须有意识地决定运行该报告。 而 Checkstyle 违规行为会在开发过程中自动报告给他们。 虽然 PMD 确实包含更广泛的规则集，但在我看来，IDE 中自动执行/报告违规行为值得维护 2 组规则。

因此，对于我从事的任何项目，我们都会使用这两种工具：在 IDE 中强制执行的 Checkstyle、在 IDE 中报告的 PMD，以及在构建中报告和测量的工具（通过 Jenkins）。

Answer 13

看看qulice-maven-plugin，它结合了 Checkstyle、PMD、FindBugs 和其他一些插件静态分析器，并预先配置它们。 这种组合的优点在于您不需要在每个项目中单独配置它们：

<plugin>
  <groupId>com.qulice</groupId>
  <artifactId>qulice-maven-plugin</artifactId>
  <version>0.15</version>
  <executions>
    <execution>
      <goals>
        <goal>check</goal>
      </goals>
    </execution>
  </executions>
</plugin>

Answer 14

我同意这样的评论：PMD 是 Java 样式/约定检查的最新产品。 对于 FindBugs，许多商业开发团队都在使用 Coverity。

Answer 15

我发现更多人提到PMD。 Checkstyle 是人们 4 年前提到的，但我相信 PMD 得到了更持续的维护，并且其他 IDE/插件选择使用它。

Answer 16

我刚刚开始使用 Checkstyle 和 PMD。 对我来说，PMD更容易创建自定义规则，比如是否存在System.gc()、Runtime.gc()，只要你会写XPath Query，这也不难。 但是，PMD 并没有向我展示它具有显示列号的功能。 因此，对于诸如检查列限制之类的事情。 您可能想使用 Checkstyle。

Answer 17

与 checkstyle 相比，PMD 是最好的工具。 Checkstyles 可能没有分析代码的能力，而 PMD 提供了许多功能来做到这一点！ Offcourse PMD 尚未发布 javadoc、注释、缩进等规则。顺便说一句，我计划实施这些规则.......谢谢