SV.SERIAL.INON

当一个接口扩展 Serializable 接口时，将出现 SV.SERIAL.INON。

漏洞与风险

当一个对象进行序列化时，其将超出 Java Runtime Environment 的控制范围，因此也不受 Java 提供的安全措施控制。相关风险由组织政策确定。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

除非必要时，避免实施 Serializable。如果确实要实施 Serializable，对包含系统资源句柄或地址空间相关信息的字段使用暂态。

示例 1

10
11
 public interface SV_SERIAL_INON_Sample_1 extends Serializable {
 }

针对第 10 行的接口声明报告 SV.SERIAL.INON：接口 SV_SERIAL_INON_Sample_1 扩展了 java.io.Serializable。