SV.USE.POLICY
代码检查规则。当代码使用来自 java.security.Policy 的 getPolicy 或 setPolicy 时,将报告 SV.USE.POLICY。
漏洞与风险
通常,不应在应用程序中更改“security.Policy”。对于访问并更改它的情况,需要进行检查。
Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用;这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源,因为用户可能是攻击者,或者可能引入人为错误。
缓解与预防
按组织的策略来确定。
示例 1
复制
void setPolicy(Policy newPolicy) {
Policy.setPolicy(newPolicy);
}
针对第 12 行的调用报告 SV.USE.POLICY:直接使用了来自“java.security.Policy”的方法“setPolicy”。