SV.CLEXT.POLICY

代码检查规则。SV.CLEXT.POLICY 会在类扩展 java.security.Policy 时出现。

漏洞与风险

允许实施“java.security.Policy”可能导致违反安全性和/或权限。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

避免扩展 java.security.Policy。

示例 1

13
14
15
16
17
18
19
20
     class MyPolicy extends Policy {
         //  example end
         public PermissionCollection getPermissions(CodeSource codesource) {
             return null;
         }
         public void refresh() {
         }
     }

针对第 13 行的类声明报告 SV.CLEXT.POLICY：类 com.klocwork.jdefects.checkers.ast.samples.SV_CLEXT_POLICY_Sample_1$MyPolicy 扩展了 java.security.Policy。