- 博客(3)
- 收藏
- 关注
RSS订阅原创 kw和Fortify扫描中的修复ServerSocketChannel资源泄露引发的问题
近期项目在使用kw和Fortify工具进行代码漏洞以及安全漏洞的扫描。对于扫描出来的海量漏洞,也确定出首要优先修复资源泄露类问题。不管是kw还是Fortify,其实扫描源码并不能做到绝对的智能。比如,在各种资源的关闭检查中,如果开发者封装了一个单独的方法用来释放资源,kw和Fortify是无法检测出来的,它们依旧会当成漏洞扫描出来。扫描出的漏洞数量非常大。但是也的确是有一部分的资源的确是没有释放的
2017-06-12 18:02:35
1573
原创 整洁代码中的魔术值
之前在项目上进行《编码规范》培训的时候,发现很多人不清楚魔术值是什么。但是,了解CleanCode,整洁代码的话,一般都比较清楚。比如在《代码整洁之道》这本书中,第二章就出现了关于魔术数的描述。魔术值就是代码中直接出现的数值。从CleanCode的角度来说,肯定是提倡尽量避免代码中出现魔术值的。至于原因,基本上都是其会使代码可读性大大下降。 在之前修订项目上《编码规范》的时候,我们也纠结
2017-06-12 18:00:59
4114
原创 正则表达式的灾难性回溯
最近项目上在做Fortify安全漏洞扫描。其中有一项漏洞扫描规则为:Denial of Service: Regular Expression。是由于正则表达式带来的DOS攻击。 由于Fortify的扫描不够绝对的智能,因此,它将所有出现了正则表达式的代码,甚至String.split(regex)统统认为有正则表达式带来的DOS攻击风险。 项目上有很多同事来询问该扫
2017-06-11 20:56:52
5006
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人