SV.USE.POLICY

コードの検査ルールです。SV.USE.POLICY は、コードが java.security.Policy の getPolicy または setPolicy を使用する場合に発生します。

脆弱性とリスク

通常、'security.Policy' をアプリケーション内で変更すべきではありません。これがアクセスまたは変更される場合には、検査が必要です。

Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。

軽減と防止

企業のポリシーで決定されます。

例 1

11
12
13
     void setPolicy(Policy newPolicy) {
         Policy.setPolicy(newPolicy);
     }

SV.USE.POLICY が 12 行目の呼び出しに対して報告されています。'java.security.Policy' の 'setPolicy' メソッドが直接使用されています。