SV.USE.POLICY

代码检查规则。当代码使用来自 java.security.Policy 的 getPolicy 或 setPolicy 时，将报告 SV.USE.POLICY。

漏洞与风险

通常，不应在应用程序中更改“security.Policy”。对于访问并更改它的情况，需要进行检查。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

按组织的策略来确定。

示例 1

11
12
13
     void setPolicy(Policy newPolicy) {
         Policy.setPolicy(newPolicy);
     }

针对第 12 行的调用报告 SV.USE.POLICY：直接使用了来自“java.security.Policy”的方法“setPolicy”。