JD.UMC.FINALIZE

JD.UMC.FINALIZE は、オブジェクトの finalize() メソッドの明示的な呼び出しがメソッドに含まれることを示します。

脆弱性とリスク

オブジェクトファイナライザメソッドは、JVM によって 1 度だけ実行されることになっています。したがって、明示的に呼び出すのは好ましくない手法です。特定の JVM とその実装方法によっては、オブジェクトファイナライザメソッドを 2 度呼び出すことにより、不適切な挙動になることがあります。

軽減と防止

ファイナライザはまったく使用せず、別の名前で明示的な終端メソッドを作成するのは良い方法です。絶対に必要な場合には、ファイナライザがオブジェクトファイナライザメソッドを "セーフティーネット" として呼び出すことができます。

例 1

11
12
13
14
15
16
17
18
19
20
     OutputStream st;
     protected void finalize() throws Throwable {
         if (st!=null) st.close();
         super.finalize();
     }
 
     void run() throws Throwable{
         // ...
         finalize();
     }

JD.UMC.FINALIZE が 19 行目の呼び出しに対して報告されています。'finalize()' メソッドの呼び出しがあります。このメソッドは、明示的に呼び出すことにはなっていません。

外部参考資料

• CERT MET12-J: ファイナライザーを使用しない
• STIG-ID:APP2060.4 デザイナーはプロジェクトコーディング基準に記載されている安全でない関数を使用しない