SV.CLEXT.POLICY
代码检查规则。SV.CLEXT.POLICY 会在类扩展 java.security.Policy 时出现。
漏洞与风险
允许实施“java.security.Policy”可能导致违反安全性和/或权限。
Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用;这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源,因为用户可能是攻击者,或者可能引入人为错误。
缓解与预防
避免扩展 java.security.Policy。
示例 1
复制
class MyPolicy extends Policy {
// example end
public PermissionCollection getPermissions(CodeSource codesource) {
return null;
}
public void refresh() {
}
}针对第 13 行的类声明报告 SV.CLEXT.POLICY:类 com.klocwork.jdefects.checkers.ast.samples.SV_CLEXT_POLICY_Sample_1$MyPolicy 扩展了 java.security.Policy。
