JAVA.SERIALIZE.INNER

内部クラスのインスタンスをシリアル化しない

脆弱性とリスク

内部クラスのシリアル化ではエラーが発生しやすくなります。

軽減と防止

内部クラスのシリアル化を削除するか、または静的な内部クラスにすることを検討してください。

脆弱コード例

コピー

1
2
3
4
5
6
7
8
9
package com.klocwork;

import java.io.Serializable;

public class JAVA_SERIALIZE_INNER_POSITIVE {
    public class Inner implements Serializable {
        private String field;
    }
}

修正コード例

コピー

1
2
3
4
5
6
7
package com.klocwork;

public class JAVA_SERIALIZE_INNER_NEGATIVE {
    public class Inner {
        private String field;
    }
}

外部参考資料

CERT SER05-J：内部クラスのインスタンスをシリアル化しない