Java 静态代码检查（一）：什么是静态检查

代码写完了，能跑起来，功能也对——但这样就够了吗？代码里可能藏着潜在的空指针、资源未关闭、不规范的命名、多余的导入……这些问题在测试阶段不一定暴露，但迟早会在生产环境给你“惊喜”。静态代码检查，就是在不运行代码的前提下，自动发现这些问题。

什么是静态代码检查

静态代码检查（Static Code Analysis）是指在不实际执行程序的情况下，通过分析源代码或字节码来发现潜在缺陷、代码风格问题、性能隐患等。

与之相对的是动态检查（Dynamic Analysis），即通过运行程序（如单元测试、集成测试）来发现问题。

	静态检查	动态检查
执行方式	不运行代码，分析源码/字节码	运行代码，观察行为
发现问题时机	编码阶段、编译阶段	测试阶段、运行阶段
覆盖范围	全量代码，包括“冷路径”	取决于测试覆盖率
典型工具	Checkstyle、PMD、FindBugs、SonarQube	JUnit、Mockito、Selenium
速度	快（秒级）	慢（分钟级以上）

一句话总结：静态检查发现“可能有问题”的代码模式，动态测试验证“实际对不对”。两者互补，不是替代关系。

软件工程有一个经典法则：缺陷发现得越晚，修复成本越高。

编码阶段发现 → 1x 成本
Code Review 发现 → 5x 成本
测试阶段发现 → 10x 成本
生产环境发现 → 100x 成本

静态检查能在开发者刚写完代码时就发现问题，这是成本最低的修复时机。

代码风格没有绝对的对错，但团队内部需要统一。靠人工 Code Review 去纠正“大括号换不换行”“命名用驼峰还是下划线”这类问题，效率太低。交给工具自动检查，人就可以专注于逻辑和架构层面的 Review。

异常处理、日志记录、空值判断——这些代码在正常测试流程中往往走不到，但静态检查能覆盖它们。

工具配置本身就是一份“可执行的编码规范”。新成员加入团队后，跑一遍检查就能知道自己哪里不符合团队习惯，比读几十页的 Word 文档高效得多。

静态检查通常放在 CI 流水线的最早阶段，在编译之前或与编译并行执行：

代码提交 → 静态检查 → 编译 → 单元测试 → 集成测试 → 打包 → 部署
            ↓ 失败
        打回修改

如果静态检查不通过，后续的编译、测试、打包都没有意义——直接反馈给开发者修改。

实际实践中，常把静态检查挂在 Maven 或 Gradle 的构建过程中，通过插件自动触发。

Java 生态中有几款主流的静态检查工具，各有侧重：

工具	分析对象	主要关注点	典型问题
Checkstyle	源代码	代码风格、格式规范	命名不规范、缺少 Javadoc、行过长
PMD	源代码	不良实践、潜在缺陷	空 catch 块、不必要的对象创建、过复杂的方法
FindBugs	字节码	真实 Bug 模式	空指针、资源未关闭、无限递归
SpotBugs	字节码	FindBugs 的继任者	同上，持续维护更新
SonarQube	源码 + 字节码	综合质量平台	以上所有 + 技术债务度量 + 质量门禁

Checkstyle 关注的是“有没有按规矩写”——代码格式、命名规范、注释完整性。它不关心你的逻辑是否正确，只关心你的代码“看起来”是否符合规范。

PMD 关注的是“有没有写蠢代码”——它能发现空 if 语句、未使用的变量、过于复杂的方法（圈复杂度过高）、不必要的对象创建等。它分析源码结构，比 Checkstyle 更深入一层。

FindBugs / SpotBugs 关注的是“有没有写 Bug”——它们分析编译后的字节码，能发现空指针解引用、资源未关闭、equals 方法实现错误这类真正可能导致程序出错的问题。FindBugs 已于 2016 年停止维护，SpotBugs 是其社区继任者。

SonarQube 则是一个综合平台，它集成了 Checkstyle、PMD、FindBugs/SpotBugs 等多款引擎的能力，在一个 Web 界面上统一展示所有问题，并提供技术债务计算、质量门禁（Quality Gate）等高级功能。

本系列会用 5 篇文章逐一深入介绍 Checkstyle、PMD、FindBugs、SpotBugs、SonarQube 的用法和配置。每篇聚焦一个工具，帮你从零到用起来。

每天前进一小步，就是一个新的高度！