SEI-CERT Java编程规范(Thread Apis)-谨慎使用ThreadGroup提供的方法

最新推荐文章于 2022-08-29 19:46:29 发布
最新推荐文章于 2022-08-29 19:46:29 发布
阅读量739 收藏
点赞数
分类专栏: 翻译 文章标签: java 线程

原文:https://wiki.sei.cmu.edu/confluence/display/java/THI01-J.+Do+not+invoke+ThreadGroup+methods

THI01-J. Do not invoke ThreadGroup methods

在Java语言里,每个线程在创建时都会被分配到一个线程组,这些线程组都是java.lang.ThreadGroup的一个实例,如果没有显式地给一个线程组命名,JVM会分配一个默认的线程组,ThreadGroup提供了一系列便利的方法,调用这些方法可以同时作用于该线程组中所有的线程。比如,ThreadGroup.interrupt()方法可以中断线程组中的所有线程。同时,强制的把线程分组,可以避免不同组的线程相互干扰,有助于构建层次化的安全架构[JavaThreads 2004]
虽然线程组对于管理线程很有用,但开发者却很难从中获利,原因在于ThreadGroup提供的很多方法都被废弃了,比如allowThreadSuspension(),resume(),stop(),suspend(),不仅如此,那些没有废弃的方法也没有多大实用价值。更讽刺的是,ThreadGroup提供的少数方法甚至不是线程安全的[Bloch 2001]
没有废弃但不安全的方法包括:
* ThreadGroup.activeCount()
根据Java API[API 2014]的描述,这个方法返回当前线程组及其子线程组中活动线程数的估算值,这个方法经常作为遍历一个线程组的先决条件。事实上,线程池中从未启动的那些线程也会被算作活动线程,同时,这个估算值还会受到某些系统线程的影响[API 2014]。因此,activeCount()并不能准确反映线程组当前的活动线程数。
* ThreadGroup.enumerate()
根据Java API[API 2014]的描述,enumerate()会将当前线程组及其子线程组中的活动线程复制到一个列表返回,这个方法可能会根据activeCount()的估算结果分配数组大小,如果由于估算不准确导致数组太小,那么超出的线程就会被忽略。

使用ThreadGroup提供的方法关闭线程也存在陷阱,因为stop()方法已经废弃了,开发者需要通过其他方式结束一个线程,根据Java Programming Language[JPL 2006](中文引自《Java程序设计语言(第四版)》陈昊鹏等译):

让线程启动终止过程的的一种方式是让它join其他线程,这样可以知道加入的线程将在何时终止,然而,应用程序可能必须维护他自己创建的线程列表,因为直接检查ThreadGroup可以返回那些没有终止的库线程,而join却不返回这些库线程。

Executor框架提供了更好地API用于管理线程组,使用了更安全的方式处理线程关闭和线程相关的异常处理[Bloch 2008]。总之,尽量不要在代码中调用ThreadGroup提供的方法。

不规范代码示例

在这个示例中,NetworkHandler类持有一个controller线程,controller线程将请求代理给
NetworkHandler的工作线程,为了验证竞态条件下的情况,NetworkHandler会相继启动3个工作线程,所有工作线程都分配到Chief线程组。 

final class HandleRequest implements Runnable {
  public void run() {
    // Do something
  }
}

public final class NetworkHandler implements Runnable {
  private static ThreadGroup tg = new ThreadGroup("Chief");

  @Override public void run() {
    new Thread(tg, new HandleRequest(), "thread1").start();
    new Thread(tg, new HandleRequest(), "thread2").start();
    new Thread(tg, new HandleRequest(), "thread3").start();
  }

  public static void printActiveCount(int point) {
    System.out.println("Active Threads in Thread Group " + tg.getName() +
        " at point(" + point + "):" + " " + tg.activeCount());
  }

  public static void printEnumeratedThreads(Thread[] ta, int len) {
    System.out.println("Enumerating all threads...");
    for (int i = 0; i < len; i++) {
      System.out.println("Thread " + i + " = " + ta[i].getName());
    }
  }

  public static void main(String[] args) throws InterruptedException {
    // Start thread controller
    Thread thread = new Thread(tg, new NetworkHandler(), "controller");
    thread.start();

    // Gets the active count (insecure)
    Thread[] ta = new Thread[tg.activeCount()];

    printActiveCount(1); // P1
    // Delay to demonstrate TOCTOU condition (race window)
    Thread.sleep(1000);
    // P2: the thread count changes as new threads are initiated
    printActiveCount(2); 
    // Incorrectly uses the (now stale) thread count obtained at P1
    int n = tg.enumerate(ta); 
    // Silently ignores newly initiated threads
    printEnumeratedThreads(ta, n);
                                   // (between P1 and P2)

    // This code destroys the thread group if it does
    // not have any live threads
    for (Thread thr : ta) {
      thr.interrupt();
      while(thr.isAlive());
    }
    tg.destroy();
  }
}

这种方式存在“检查时间/使用时间问题”(TOCTOU)的缺陷,获取活动线程数和枚举活动线程这两个操作不能保证原子性,如果在调用activeCount()enumerate()这两个方法之间某时刻,有新的请求进入,实际上总的线程数增加了,但活动线程列表ta的长度是上一次调用activeCount()的取值,因此枚举活动线程不会包含新增的线程。
后续对活动线程数列表ta的使用也是不安全的,比如,我们想调用destroy()方法销毁线程组中所有线程,调用destroy()方法的前置条件是线程组中没有处于工作中的线程,以上代码实例中,对于所有的活动线程,尝试调用interrupt()方法中断,最后,调用线程组的destroy()方法,然而,事实上此时线程组中仍然存在活动线程,调用destroy()方法会导致抛出java.lang.IllegalThreadStateException

规范的代码

针对上述场景,正确的方式是使用一个固定长度的线程池来管理工作线程,java.util.concurrent.ExecutorService接口提供了一系列方法管理线程池,尽管ExecutorService没有提供获取活动线程数和枚举活动线程的方法,但可以通过它提供的方法方法控制一个逻辑线程组的行为,如以下代码所示,可以使用shutdownPool()方法终止特定线程池中所有线程。 

public final class NetworkHandler {
  private final ExecutorService executor;

  NetworkHandler(int poolSize) {
    this.executor = Executors.newFixedThreadPool(poolSize);
  }

  public void startThreads() {
    for (int i = 0; i < 3; i++) {
      executor.execute(new HandleRequest());
    }
  }

  public void shutdownPool() {
    executor.shutdown();
  }

  public static void main(String[] args)  {
    NetworkHandler nh = new NetworkHandler(3);
    nh.startThreads();
    nh.shutdownPool();
  }
}

Java SE 5.0之前,如果需要捕获单个线程中抛出的异常,必须要使用ThreadGroup,因为这是直接提供这种功能的唯一方式。具体来说,UncaughtExceptionHandler只能通过继承ThreadGroup获得。在最近的java版本中,UncaughtExceptionHandler通过Thread类提供的内部接口Thread.UncaughtExceptionHandler被每个线程持有。总之,现在ThreadGroup类几乎没有包含不可替代的功能。

Joe081207
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CERT编码规范中文版
05-22
cert编程规范中文版,囊括了所有的有关于cert编码规范的内容
SEI-CERT Java编程规范(Thread Apis)-不要调用Thread.run()
Joe081207的博客
12-10 1081
原文:https://wiki.sei.cmu.edu/confluence/pages/viewpage.action?pageId=88487735不要调用Thread.run()使用方法启动线程具有迷惑性,看起来是启动新的线程执行方法,但实际上,执行方法线程是不对的。 调用Thread.start()才能启动新的线程执行线程的run()方法,直接调用Thread对象的run()方法并不能
java 编程规范
ppwwp的专栏
12-15 273
CERT Java安全编码规范 Google Java Style Guide 软件开发中的常见弱点(MITRE CWE) 阿里巴巴编程规范
C安全编码标准-CERT C Programming Language Secure Coding Standard
02-18
This document represents a preliminary draft of the CERT C Programming Language Secure Coding Standard. This project was initiated following the 2006 Berlin meeting of WG14 to produce a secure coding standard based on the C99 standard. Although this is an incomplete work, we would greatly appreciate your comments and feedback at this time to further the development and refinement of the material. Please provide comments that are commensurate with the existing detail in the document. For example, if a rule or recommendation is simply a stub you may wish to comment if you think having a rule or recommendation in that area is unwarranted.
sei-cert-cpp-coding-standard-2016-v01_c_安全编程_sei-cert-c-coding_S
09-11
SEI CERT C++编程标准,C++安全编程规范
sei-cert-c-coding-standard-2016-v01_c_groundh88_安全编程_sei-cert-c-
09-11
SEI CERT C编程标准是软件开发领域中一个重要的安全指南,尤其针对C语言的开发者。这一标准由Software Engineering Institute's CERT协调中心发布,其目的是为了提高C语言代码的安全性和可靠性,减少因编程错误而...
SEI-CERT-C编码标准:翻译SEI CERT C编码标准中的一些文章
02-20
SEI CERT C编码标准是由Software Engineering Institute(软件工程研究所)的CERT协调中心制定的一套针对C语言编程的安全编码规范。这个标准旨在减少由于编程错误导致的软件安全漏洞,提高代码的健壮性和可靠性。...
sei-cert-cpp-coding-standard-2016-v01_c_安全编程
09-29
sei-cert-cpp-coding-standard-2016-v01_c_安全编程》这份文档是SEI(Software Engineering Institute)发布的C++编程安全标准,旨在帮助开发者遵循最佳实践,编写出更安全、可靠的C++代码。SEI CERT C++编码标准...
sei-cert-c-coding-standard-2016-v01.pdf
05-25
C 编码规范,描述一些规范,实际编码中注意的问题. SEI CERTC Coding StandardRules for Developing Safe, Reliable, and Secure Systems
CERT-JAVA Atomicity、 Visibility and Atomicity
最新发布
weixin_44205155的博客
08-29 203
CERT-JAVA Visibility and Atomicity
CERT关于Java安全编码规范的新书
软件质量优化
09-20 4083
CERT关于Java安全编码规范的新书:Java Coding Guidelines: 75 Recommendations for Reliable and Secure Programshttp://www.informit.com/store/java-coding-guidelines-75-recommendations-for-reliable-9780321933157
避免使用线程组(thread group)。
孤芳不自赏
08-05 2533
除了线程、锁和监视器之外,线程系统还提供了一个基本的抽象,即线程组。线程组的初衷是作为一种隔离applet(小程序)的机制,当然是出于安全的考虑。但是他们从来没有真正履行这个承诺,他们的安全价值已经差到根本不在Java安全模型的标准工作中提及的地步。 他们允许你同时把Thread的某些基本功能应用到一组线程中。其中有一些基本功能已经被废弃了,剩下的也很少使用。 具有讽刺意味的是,从线程安全性的...
行业认证标准CERT安全编码标准由软件工程学院(SEI)开发
Pokemogo的博客
11-27 2344
什么是CERTCERT安全编码标准是由软件工程学院(SEI)开发的,适用于多种语言,其目的是通过避免对安全性问题更敏感的编码结构来加强您的代码。 在CERT编码框架中,将优先级计算为三个因素(严重性,有人利用此漏洞的可能性和补救成本)的乘积,并分为以下级别:L1,L2和L3。L1表示严重程度较高的违规事件,可能性很高且修复成本较低(即最重要的是要解决,因为它们表明严重的问题并不容易解决)。使用CERT的评分框架可为集中精力和使团队充分利用其时间预算提供极大帮助。 通过静态分析加强CERT C/
Java线程学习(四)ThreadGroup线程组)
chen_changtui的博客
03-05 292
目录一、ThreadGroup概述二、ThreadGroup常用API三、API例子 一、ThreadGroup概述 每个线程隶属于唯一一个线程组,这个线程组在线程创建时指定并在线程的整个生命周期内都不能更改。默认线程创建时属于main线程组。默认创建的线程组也属于main线程组,所以线程组组成了一棵以系统线程组为根的树 补充:main线程组属于system线程组,system线程组时根线程组 二...
Fortify规则与CERT JAVA 安全编程规范的对照表
weixin_30828379的博客
05-14 420
Fortify规则与CERT JAVA 安全编程规范的对照表http://www.automationqa.com/forum.php?mod=viewthread&tid=4353&fromuid=29 转载于:https://www.cnblogs.com/hackchecker/p/3728778.html...
JAVA 后台开发规范
on the way . . .
09-21 1022
本篇规范基于阿里巴巴、华为的开发手册。感谢前人的经验和付出,让我们可以有机会站在巨人的肩膀上眺望星辰大海。 规范不是为了约束和禁锢大家的创造力,而是为了帮助大家能够在正确的道路上,尽可能的避免踩坑和跑偏。 规范可以让我们无论单枪匹马还是与众人同行的时候都能得心应手。 规范可以让我们在面对日益变态的需求和做代码接盘侠的时候,更优雅从容。 规则并不是完美的,通过约束和禁止在特定情况下的特性,可能会对代码实现造成影响。 但是制定规则的目的:为了得到更多的好处,如果在团队实际运作中认为某个规则无法遵循或有更好的..
Java Coding Standard
C1618的专栏
12-11 679
说明:本规范分为不同的级别,默认级别为必须遵循级别,而(II)为建议级别,非强制执行。1.格式与命名规范(Formating and Naming Conventions)最重要:不用死记硬背,直接使用Eclipse的自动格式化功能。换行:每行120字符以上--因为现在屏幕已大为宽广。括号:if,for,while语句只有单句时,如果该句可能引起阅读混淆,需要用花括号括起来
软件开发代码安全秘籍:如何使用SEI CERT C保护您的软件
Pokemogo的博客
12-04 979
SEI CERT安全编码标准是保护代码安全的绝佳选择,尤其是在您的应用程序是嵌入式或安全性至关重要的情况下。在本文中,我将讨论如何使用静态分析通过设计实现此标准的安全性。 “尽管保护软件的概念很重要,但是保护无缺陷的软件比保护漏洞百出的软件容易得多。” ——Gary McGraw博士,来自美国Cigital公司 嵌入式软件和物联网设备的激增每天都在增加安全攻击的风险。在我的IoT hall-of-shame中,我看到从水处理厂到汽车到儿童玩具等各种物品的定期攻击。随着“事物”获得更多的..
Java编程规范
浪里小白龙
06-21 3341
本文档主要用来对java编码规范方面的说明。
JAX-WS详解:构建SOAP基于Java Web服务的关键技术
JAX-WS(Java API for XML-Based Web Services)是Java平台上用于开发基于SOAP(Simple Object Access Protocol)的Java Web服务(JSR 224)的核心技术之一。它提供了强大的工具和框架,使得Java开发者能够构建、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值