SonarQube的FindBugs插件sonar-findbugs-plugin.jar（版本：4.0.1-SNAPSHOT），包含FindBugs Security Audit等规则，可以离线集成到sonarqube。

解压后拿到FindBugs.zip插件，有Eclipse和IDEA的； 使用：IDEA为例--直接在idea---file--settings---plugins---Install plugin from disk 选中压缩包，点击apply--ok，重启idea即可。 使用：右击代码文件或项目，点击“FindBugs-Analyze Module files-

sonar自定义规则findbugs插件： 版本：4.0.4 对应soanrqube版本：7.6~ 都可以使用该版本（即从7.6开始的sonar版本到9.0都可以使用该插件）

解压后将edu.umd.cs.findbugs.plugin.eclipse_3.0.1.20150306-5afe4d1.zip解压放到eclipse的plugins文件夹里就行

将此插件解压放到eclipse的plugin目录下，在项目中选择build.xml文件，run as ant bulid，生成的html报告在d盘

1. 简介 FindBugs 是一个静态分析工具，它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具，就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图，而是通常使用 Visitor 模式。 2. 使用时机  开发阶段 　　当Developer完成了某一部分功能模块开发的时候(这通常是指代码撰写完成，并已 debug通过之后)，可藉由FindBugs对该模块涉及的java文件进行一次扫描，以发现一些不易察觉的bug或是效能问题。交付新版的时候，开发团队可以跑一下FindBugs，除掉一些隐藏的Bug。FindBugs得出的报告可以作为该版本的一个参考文档一并交付给测试团队留档待查。 　　在开发阶段使用FindBugs，一方面开发人员可以对新版的品质更有信心，另一方面，测试人员藉此可以把更多的精力放在业务逻辑的确认上面，而不是花大量精力去进一些要在特殊状况下才可能出现的BUG(典型的如Null Pointer Dereference)。从而可以提高测试的效率。  维护阶段 这里指的是系统已经上线，却发现因为代码中的某一个bug导致系统崩溃。在除掉这个已暴露的 bug之后，为了快速的找出类似的但还未暴露的 bug，可以使用FindBugs对该版的代码进行扫描。当然，在维护阶段使用FindBugs往往是无奈之举，且时间紧迫。此外，如果本来在新版交付的时候就使用过FindBugs的话，往往意味着这种bug是FindBugs还无法检测出的。这也是FindBugs局限的地方。 FindBugs不能发现非java的Bug。对于非java撰写的代码，如 javascript，SQL等等，要找出其中可能的bug，FindBugs是无能为力的。当然，javascript中的bug似乎还不至于使系统崩溃，而SQL中的bug往往又跟业务逻辑相关，只要测试仔细一些应该是可以发现的。 FindBugs不过是一个工具。作为开发人员，当然首先要在编程的时候努力避免引入bug，而不要依赖于某个工具来为自己把关。不过由于代码的复杂性，一些隐藏的bug确实很难靠咱们的肉眼发现。这时，应用一些好的工具或许就可以帮你发现这样的 bug。这便是FingBug存在的价值。

win7x64，myeclipse10中checkStyle与findBugs插件的安装，附软件与安装步骤，在本人计算机上已经测试通过，给有需要的朋友上传下，附：插件安装完成，重启myeclipse后，要稍等一两分钟，这时候要加载插件，ok，祝您安装成功