SV.CLEXT.POLICY
コード検査ルール。SV.CLEXT.POLICY は、クラスが java.security.Policy を拡張する場合に発生します。
脆弱性とリスク
'java.security.Policy' の実装を許可すると、セキュリティや権限の侵害を受ける可能性があります。
Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。
軽減と防止
java.security.Policy の拡張は避けます。
例 1
コピー
class MyPolicy extends Policy {
// example end
public PermissionCollection getPermissions(CodeSource codesource) {
return null;
}
public void refresh() {
}
}
SV.CLEXT.POLICY が 13 行目のクラス宣言に対して報告されています。クラス 'com.klocwork.jdefects.checkers.ast.samples.SV_CLEXT_POLICY_Sample_1$MyPolicy' が 'java.security.Policy' を拡張しています。