Klocwork Java チェッカーにマッピングされた DISA STIG バージョン 5 の ID

SV.DOS.TMPFILEDEL   JVM の生存期間中一時ファイルが存続します

SV.DOS.TMPFILEEXIT    一時ファイルが存続します

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SPRING.AUTHC.ABSENT   重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING   重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT   保護されたリソースに対する設定の欠落

SPRING.AUTHZ.MISSING   権限の欠落

SV.AUTH.BYPASS.MIGHT   不正確な認証

SV.AUTH.BYPASS.MUST   不正確な認証

SV.EXPOSE.FIELD   static フィールドは悪意のあるコードによって変更される可能性があります

SV.EXPOSE.FIN   finalize() メソッドは、public ではなく protected アクセス修飾子を使用する必要があります

SV.EXPOSE.IFIELD   インスタンスフィールドは final にする必要があります

SV.EXPOSE.MUTABLEFIELD   static mutable フィールドは悪意のあるコードによってアクセスされる可能性があります

SV.EXPOSE.RET   内部表現が露出される可能性があります

SV.EXPOSE.STORE   メソッドが mutable オブジェクトへのリファレンスを保存しています

SPRING.AUTHC.ABSENT   重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING   重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT   保護されたリソースに対する設定の欠落

SPRING.AUTHZ.MISSING   権限の欠落

SV.CLEXT.POLICY   クラスが 'java.security.Policy' を拡張しています

SV.PRIVILEGE.MISSING   呼び出されるメソッドは doPrivileged ブロック内にあってはなりません

SV.USE.POLICY   Policy のメソッドの直接使用

SV.LOG_FORGING   ログの偽造

SV.LOG_FORGING   ログの偽造

SV.EMAIL   未チェックの電子メール

SV.SSRF.URI   無効化されたユーザー入力に基づく URI。

UMC.SYSERR   System.err メソッド呼び出しを使用したデバッグ表示は好ましくありません

UMC.SYSOUT   System.out メソッド呼び出しを使用したデバッグ表示は好ましくありません

SV.PASSWD.HC.EMPTY   空のパスワード

SV.PASSWD.HC.MINLEN   長さが 15 文字以上のハードコードされたパスワード

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.PASSWD.HC   ハードコードされたパスワード

SV.PASSWD.HC.EMPTY   空のパスワード

SV.PASSWD.PLAIN   プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC   プレーンテキストのパスワード

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.PASSWD.HC   ハードコードされたパスワード

SV.PASSWD.HC.EMPTY   空のパスワード

SV.PASSWD.PLAIN   プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC   プレーンテキストのパスワード

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.CERT.INVALID   証明書は、証明書パスを構築することで、検証する必要があります。

SV.ECV.TRUSTMANAGER   X509TrustManager インターフェイスの実装が安全ではありません。

SV.PERMS.HOME   パーミッションを設定せずに、ユーザーのホームディレクトリに作成されるファイル

SV.PERMS.WIDE   広すぎるパーミッション

SPRING.AUTHC.ABSENT   重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING   重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT   保護されたリソースに対する設定の欠落

SPRING.AUTHZ.MISSING   権限の欠落

SV.AUTH.BYPASS.MIGHT   不正確な認証

SV.AUTH.BYPASS.MUST   不正確な認証

SV.PASSWD.PLAIN   プレーンテキストのパスワード

JAVA.SV.EMAIL.HOST   検証なしでホストに電子メールを送信しています。

SV.AUTH.HASH.MIGHT   脆弱な暗号化アルゴリズムの使用

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.ECV   空の証明書検証

SV.ECV.TRUSTMANAGER   X509TrustManager インターフェイスの実装が安全ではありません。

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.KEYS.AES   暗号化アルゴリズムのキーの長さが不十分です

SV.WEAK.KEYS.DH   暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.DSA   暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.EC   暗号化アルゴリズムのキーの長さが不十分です

SV.WEAK.KEYS.RSA   暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.XSS.COOKIE   setHttpOnly フラグのない機密性の高い Cookie

SV.XSS.COOKIE.SECURE   安全なプロトコルが使用されない機密性の高い Cookie

JD.NEXT   'NoSuchElementException' の可能性あり

JD.SYNC.IN   同期が整合していません

SV.SHARED.VAR   サーブレットから static 変数への非同期アクセス

SV.STRUTS.STATIC   Struts フォーム: static フィールド

SV.UMC.THREADS   好ましくない手法: スレッド管理の使用

RLK.NIO   NIO オブジェクトが終了時に閉じられていません

RLK.SOCK   ソケットが終了時に閉じられていません

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.IL.SESSION   セッション ID のロギング

SV.IL.SESSION.CLIENT   HttpServletRequest.getRequestedSessionId メソッドは使用しないでください

SV.SESSION.FIXATION.COOKIE   Cookie は、セッションの固定化に対して脆弱であってはなりません

SV.SPRING.FIXATION   セッション固定化保護が無効になっています

SV.XSS.COOKIE   setHttpOnly フラグのない機密性の高い Cookie

SV.XSS.COOKIE.SECURE   安全なプロトコルが使用されない機密性の高い Cookie

SV.IL.SESSION   セッション ID のロギング

SV.IL.SESSION.CLIENT   HttpServletRequest.getRequestedSessionId メソッドは使用しないでください

SV.SESSION.FIXATION.COOKIE   Cookie は、セッションの固定化に対して脆弱であってはなりません

SV.SPRING.FIXATION   セッション固定化保護が無効になっています

SV.XSS.COOKIE   setHttpOnly フラグのない機密性の高い Cookie

SV.XSS.COOKIE.SECURE   安全なプロトコルが使用されない機密性の高い Cookie

SV.RANDOM   安全でない乱数ジェネレータの使用

ANDROID.RLK.SQLOBJ   SQL オブジェクトが終了時に閉じられていません

RLK.HIBERNATE   Hibernate オブジェクトが終了時に閉じられていません

RLK.JNDI   JNDI コンテキストが終了時に閉じられていません

RLK.JPA   {3} オブジェクトが終了時に閉じられていません。

RLK.SQLCON   SQL 接続が終了時に閉じられていません

RLK.SQLOBJ   SQL オブジェクトが終了時に閉じられていません

SV.DOS.TMPFILEDEL   JVM の生存期間中一時ファイルが存続します

SV.DOS.TMPFILEEXIT    一時ファイルが存続します

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.CLEXT.POLICY   クラスが 'java.security.Policy' を拡張しています

SV.USE.POLICY   Policy のメソッドの直接使用

SV.DOS.ARRINDEX   汚染されたインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE   汚染されたサイズが配列割り当てに使用されています

SV.TAINT_NATIVE   汚染データがネイティブコードに渡されています

SV.TMPFILE   一時ファイルのパス改ざん

SV.UMC.EXIT   System.exit() および Runtime.exit() メソッドの呼び出しをサーブレットコードでは使用できません

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.PASSWD.HC   ハードコードされたパスワード

SV.PASSWD.HC.EMPTY   空のパスワード

SV.PASSWD.PLAIN   プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC   プレーンテキストのパスワード

SV.RANDOM   安全でない乱数ジェネレータの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.SERIAL.NOFINAL   シリアル化可能なクラスでは、メソッド readObject() および writeObject() は final である必要があります

SV.SERIAL.NOREAD   メソッド readObject() をシリアル化可能なクラスに対して定義する必要があります

SV.SERIAL.NOWRITE   メソッド writeObject() をシリアル化可能なクラスに対して定義する必要があります

SV.SERIAL.SIG   シリアル化可能なクラスでは、メソッド readObject() および writeObject() が正しいシグネチャを持つ必要があります

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.IL.DEV   設計情報のリーク

SV.IL.FILE   ファイル名のリーク

SV.STRBUF.CLEAN   文字列バッファが削除されていません

SV.STRUTS.NOTRESET   Struts フォーム: リセットが整合していません

ANDROID.LIFECYCLE.SV.GETEXTRA   未検証の外部データ

SV.HTTP_SPLIT   HTTP 応答分割

SV.XSS.COOKIE   setHttpOnly フラグのない機密性の高い Cookie

SV.XSS.DB   クロスサイトスクリプティング (Stored XSS)

SV.XSS.REF   クロスサイトスクリプティング (Reflected XSS)

SV.CSRF.GET   GET リクエスト中の CSRF トークン

SV.CSRF.ORIGIN   オリジンチェックなしの要求ハンドラ

SV.CSRF.TOKEN   CSRF チェックなしの状態変更要求ハンドラ

SV.CLASSDEF.INJ   ランタイムクラス定義の挿入

SV.CLASSLOADER.INJ   クラスローダー URL の挿入

SV.CLEXT.CLLOADER   クラスが 'java.lang.ClassLoader' を拡張しています

SV.EMAIL   未チェックの電子メール

SV.EXEC   プロセス挿入

SV.EXEC.DIR   プロセス挿入。作業ディレクトリ

SV.EXEC.ENV   プロセス挿入。環境変数

SV.EXEC.LOCAL   プロセス挿入。ローカル引数

SV.PATH   パスおよびファイル名の挿入

SV.PATH.INJ   ファイル挿入

SV.SCRIPT   スクリプトの実行

SV.SERIAL.INON   インターフェイスが 'Serializable' を拡張しています

SV.SERIAL.NOFINAL   シリアル化可能なクラスでは、メソッド readObject() および writeObject() は final である必要があります

SV.SERIAL.NON   クラスが 'Serializable' を実装しています

SV.SERIAL.NOREAD   メソッド readObject() をシリアル化可能なクラスに対して定義する必要があります

SV.SERIAL.NOWRITE   メソッド writeObject() をシリアル化可能なクラスに対して定義する必要があります

SV.SERIAL.SIG   シリアル化可能なクラスでは、メソッド readObject() および writeObject() が正しいシグネチャを持つ必要があります

ANDROID.LIFECYCLE.SV.FRAGMENTINJ   未検証のフラグメントクラス名

ANDROID.LIFECYCLE.SV.GETEXTRA   未検証の外部データ

CMP.CLASS   クラス名で比較

SV.CLASSDEF.INJ   ランタイムクラス定義の挿入

SV.CLASSLOADER.INJ   クラスローダー URL の挿入

SV.DATA.BOUND   信頼できないデータが信頼できるストレージにリークしています

SV.DATA.DB   データ挿入

SV.DOS.ARRINDEX   汚染されたインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE   汚染されたサイズが配列割り当てに使用されています

SV.EMAIL   未チェックの電子メール

SV.EXEC   プロセス挿入

SV.EXEC.DIR   プロセス挿入。作業ディレクトリ

SV.EXEC.ENV   プロセス挿入。環境変数

SV.HTTP_SPLIT   HTTP 応答分割

SV.INT_OVF   汚染データが整数オーバーフローを引き起こす可能性があります

SV.LDAP   未検証のユーザー入力が LDAP フィルターとして使用されています

SV.PATH   パスおよびファイル名の挿入

SV.PATH.INJ   ファイル挿入

SV.SCRIPT   スクリプトの実行

SV.SQL   SQL インジェクション

SV.SSRF.URI   無効化されたユーザー入力に基づく URI。

SV.STRUTS.NOTVALID   Struts フォーム: 検証が整合していません

SV.STRUTS.VALIDMET   Struts フォーム: validate メソッド

SV.TAINT   汚染データ

SV.TAINT_NATIVE   汚染データがネイティブコードに渡されています

SV.TMPFILE   一時ファイルのパス改ざん

SV.XPATH   未検証のユーザー入力が XPath 式として使用されています

SV.XSS.REF   クロスサイトスクリプティング (Reflected XSS)

SV.SQL   SQL インジェクション

SV.SQL.DBSOURCE   データベースから取得された未チェックの情報が SQL ステートメントで使用されています

SV.XPATH   未検証のユーザー入力が XPath 式として使用されています

SV.XXE.DBF   XML 外部実体攻撃の可能性

SV.XXE.SF   XML 外部実体攻撃の可能性

SV.XXE.SPF   XML 外部実体攻撃の可能性

SV.XXE.TF   XML 外部実体攻撃の可能性

SV.XXE.XIF   XML 外部実体攻撃の可能性

SV.XXE.XRF   XML 外部実体攻撃の可能性

ANDROID.LIFECYCLE.SV.FRAGMENTINJ   未検証のフラグメントクラス名

ANDROID.LIFECYCLE.SV.GETEXTRA   未検証の外部データ

CMP.CLASS   クラス名で比較

SV.CLASSDEF.INJ   ランタイムクラス定義の挿入

SV.CLASSLOADER.INJ   クラスローダー URL の挿入

SV.DATA.BOUND   信頼できないデータが信頼できるストレージにリークしています

SV.DATA.DB   データ挿入

SV.DOS.ARRINDEX   汚染されたインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE   汚染されたサイズが配列割り当てに使用されています

SV.EMAIL   未チェックの電子メール

SV.EXEC   プロセス挿入

SV.EXEC.DIR   プロセス挿入。作業ディレクトリ

SV.EXEC.ENV   プロセス挿入。環境変数

SV.HTTP_SPLIT   HTTP 応答分割

SV.INT_OVF   汚染データが整数オーバーフローを引き起こす可能性があります

SV.LDAP   未検証のユーザー入力が LDAP フィルターとして使用されています

SV.PATH   パスおよびファイル名の挿入

SV.PATH.INJ   ファイル挿入

SV.SCRIPT   スクリプトの実行

SV.SQL   SQL インジェクション

SV.SSRF.URI   無効化されたユーザー入力に基づく URI。

SV.STRUTS.NOTVALID   Struts フォーム: 検証が整合していません

SV.STRUTS.VALIDMET   Struts フォーム: validate メソッド

SV.TAINT   汚染データ

SV.TAINT_NATIVE   汚染データがネイティブコードに渡されています

SV.TMPFILE   一時ファイルのパス改ざん

SV.XPATH   未検証のユーザー入力が XPath 式として使用されています

SV.XSS.REF   クロスサイトスクリプティング (Reflected XSS)

SV.DOS.ARRINDEX   汚染されたインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE   汚染されたサイズが配列割り当てに使用されています

SV.INT_OVF   汚染データが整数オーバーフローを引き起こす可能性があります

SV.TAINT_NATIVE   汚染データがネイティブコードに渡されています

JD.INF.AREC   明白な無限再帰

JD.LOCK   ロック解除されていないロック

JD.LOCK.NOTIFY   ロックを保持した 'notify' メソッドの呼び出し

JD.LOCK.SLEEP   ロックを保持した 'sleep' メソッドの呼び出し

JD.LOCK.WAIT   ロックを保持した 'wait' メソッドの呼び出し

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT   ソルトなしの一方向暗号化ハッシュの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください

SV.PASSWD.HC   ハードコードされたパスワード

SV.PASSWD.HC.EMPTY   空のパスワード

SV.PASSWD.PLAIN   プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC   プレーンテキストのパスワード

JD.THREAD.RUN   'Thread.run' メソッドの明示的な呼び出し

JD.UMC.FINALIZE   'Object.finalize' メソッドの明示的な呼び出し

JD.UMC.RUNFIN   runFinalizersOnExit() が呼び出されました

MNA.CAP   メソッド名は小文字で開始する必要があります

MNA.CNS   メソッド名はコンストラクタ名と同じですが、コンストラクタではありません

MNA.SUS   不審なメソッド名

ECC.EMPTY   空の catch 句

EXC.BROADTHROWS   過度に広範な範囲に対応するメソッドが宣言をスローしています

JD.CATCH   実行時例外のキャッチ

JD.UNCAUGHT   キャッチされない例外

RI.IGNOREDCALL   immutable オブジェクトに対して呼び出されたメソッドから返された値は無視されます

RI.IGNOREDNEW   新しく作成されたオブジェクトは無視されます

RR.IGNORED   戻り値は無視されます

SV.PASSWD.HC   ハードコードされたパスワード

SV.DOS.ARRINDEX   汚染されたインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE   汚染されたサイズが配列割り当てに使用されています

SV.TAINT_NATIVE   汚染データがネイティブコードに渡されています

SV.TMPFILE   一時ファイルのパス改ざん

SV.UMC.EXIT   System.exit() および Runtime.exit() メソッドの呼び出しをサーブレットコードでは使用できません

SV.AUTH.HASH.MUST   脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA   暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ   暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT   壊れたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS   脆弱な SSL/TLS プロトコルは使用しないでください