RI.IGNOREDNEW

警告 RI.IGNOREDNEW は、コンストラクタメソッドの呼び出しがあり、このメソッド呼び出しの結果が無視される場合に表示されます。これは、場合によってはエラーを生じることがあります (例: Thread クラス: ユーザーは初期化の後にスレッドを開始する必要があるため)。

脆弱性とリスク

メソッドの動作を誤解すると、アプリケーションロジックに欠陥を生じます。

軽減と防止

メソッド (a=a.trim() など) から返された値を保存してください。

例 1

9
10
11
12
13
14
15
16
      public void runMyProcessing() {
         Runnable myRunnable = new Runnable() {
             public void run() {
                 // do actual processing...
             }
         };
         new Thread(myRunnable); // ignored! 
     }

RI.IGNOREDNEW が 15 行目に対して報告されています。新規に作成された 'java.lang.Thread' 型のオブジェクトが無視されています。

外部参考資料

• CWE-391: チェックされないエラー状況
• STIG-ID:APP3120 アプリケーションにエラー処理の脆弱性があります

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Dos Uncaught Errors (捕捉されない Dos エラー)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます