1 ）原代码如下：

protected String[] a = null;

public void test(String[] str){

    this.a = str;

}

findbugs描述为：

This code stores a reference to an externally mutable object into the internal representation of the object. If instances are accessed by untrusted code, and unchecked changes to the mutable object would compromise security or other important properties, you will need to do something different. Storing a copy of the object is better approach in many situations.

网上翻译如下：

可能因使引用可指向多个对象而暴露内部存储结构。 
这代码使一个指向外部多个对象的引用指向了一个内部对象存储地址。 
如果实例被未被信任代码访问或多个对象发生了未经检查的改变就会危及安全性或其它重要属性， 
你需要去做一些不同的事情。存储一个对象的拷贝在许多情况下会是一个更好的方法。

修改如下：

public void test(String[] str){

    if(str!=null)

    this.a = str.clone();

}

--------------------------------------------------------------------------------

2 ）在bean中定义数组类型的bug

[参考]http://topic.csdn.net/u/20080115/20/c8893ce0-5546-4762-97bb-9b00d10885cc.html

原代码：

private String[] name;

public String[] getName() { 
return name; 
}

public void setName(String[] name) { 
this.name = name; 
}

bug描述：

[EI] May expose internal representation by returning reference to mutable object [EI_EXPOSE_REP]

解决：

private String[] name;

public String[] getName() { 
String[] temp = name; 
return temp; 
}

public void setName(String[] name) { 
String[] temp = name; 
this.name = temp; 
}

说明：

所有容器类型如ArrayList和数组类型，如果你都自动生成get set，都会有这个警告。 
    这个警告的主要目的是：一般的get set直接把此对象中某一容器的引用放到外部，可以随便更改，违反了封装的原则，至于那个temp的方法，由于不是直接对内部容器进行操作，故没有警告，但没有实际意义，自己知道即可。

Returning a reference to a mutable object value stored in one of the object's fields exposes the internal representation of the object. If instances are accessed by untrusted code, and unchecked changes to the mutable object would compromise security or other important properties, you will need to do something different. Returning a new copy of the object is better approach in many situations.

--------------------------------------------------------------------------------

3） 序列化问题

源码：

private Obj[] obj;

public void getObj(){

Obj[] tep = obj;

return tep;

}

public Obj[] setObj(Obj[] o){

Obj[] tep = o;

this.obj = tep;

}

bug描述：

This Serializable class defines a non-primitive instance field which is neither transient, Serializable, or java.lang.Object, and does not appear to implement the Externalizable interface or the readObject() and writeObject() methods. Objects of this class will not be deserialized correctly if a non-Serializable object is stored in this field.

修改：

public class Obj implements Serializable {

...

}

4 ) new Integer(int) 和 Integer.valueOf(int)

bug描述：

[Bx] Method invokes inefficient Number constructor; use static valueOf instead [DM_NUMBER_CTOR]

Using new Integer(int) is guaranteed to always result in a new object whereas Integer.valueOf(int) allows caching of values to be done by the compiler, class library, or JVM. Using of cached values avoids object allocation and the code will be faster.

说明:

[参考]http://www.cnblogs.com/hyddd/articles/1391318.html

FindBugs推荐使用Integer.ValueOf(int)代替new Integer(int)，因为这样可以提高性能。如果当你的int值介于-128～127时，Integer.ValueOf(int)的效率比Integer(int)快大约3.5倍。

下面看看JDK的源码，看看到Integer.ValueOf(int)里面做了什么优化：

从源代码可以知道，ValueOf对-128～127这256个值做了缓存(IntegerCache)，如果int值的范围是：-128～127，在ValueOf(int)时，他会直接返回IntegerCache的缓存给你。

所以你会看到这样的一个现象：

结果是：

true
false

因为：java在编译的时候 Integer a = 100; 被翻译成-> Integer a = Integer.valueOf(100);，所以a和b得到都是一个Cache对象，并且是同一个！而c和d是新创建的两个不同的对象，所以c自然不等于d。

再看看这段代码：

结果是：false

因为在对a操作时(a=a+1或者a++)，a重新创建了一个对象，而b对应的还是缓存里的100，所以输出的结果为false。

--------------------------------------------------------------------------------

5) toString() 和 String

源码：

return a.toString();

bug描述

[Dm] Method invokes toString() method on a String [DM_STRING_TOSTRING]
Calling String.toString() is just a redundant operation. Just use the String.

修改为：

return (String) a;

原文地址：http://www.blogjava.net/pure/archive/2009/09/30/296989.html