java java编码_作者问答:Java编码准则

最新推荐文章于 2024-09-15 19:46:31 发布
最新推荐文章于 2024-09-15 19:46:31 发布
阅读量170 收藏
点赞数
文章标签: 编程语言 java python linux 人工智能
原文链接:https://www.infoq.com/articles/java_coding_guidelines-interview/?topicPageSponsorship=c1246725-b0a7-43a6-9ef9-68102c8d48e1
版权

java java编码

大多数开发人员都认为有必要编写安全代码,但通常会发现交付某些产品的压力可能会限制他们这样做的能力。 其他人可能只是不知道从哪里开始。 无论哪种情况,都有一个既定的指南对改进他们的方法很有用。

InfoQ有机会与Java Coding Guidelines的作者交谈,讨论他们的新书如何帮助开发人员编写更好的代码,并提供有关查找内容的有用指南。

InfoQ:许多开发人员可能希望提高与安全性相关的代码质量,但可能不知道从哪里开始。 另一位开发人员可能认为他们在理论上很出色,但是他们却坚持使用遗留代码库。 您会对那些来自不同情况的程序员说些什么?

作者:您如何使用本书很大程度上取决于您的工作。 如果您刚开始Java软件开发过程,则可能需要通读一遍,以获得本指南的要旨。 然后,在开始开发系统时,可以回过头来查看有关准则的应用的个别准则。

另一方面,如果要维护现有系统,则可能需要查看准则,直到找到“令人惊讶”的准则,再查看代码以查看是否存在问题,然后根据需要参考准则。补救策略。

InfoQ: 看书时,内容分为安全性,防御性编程,可靠性,程序易懂性和程序员的误解。 其中,您认为最需要编程的地方是什么?

作者: Java编码指南的主要目的是帮助程序员在面对特定编程概念,构造或语言功能的正确应用存在不确定性时做出明智的选择。 程序员的误解解决了“什么是常见的误解?”这一特定问题。 程序可理解性在确保代码没有歧义且因此易于维护方面大有帮助。 “安全性”,“防御性编程”和“可靠性”章节灌输了构建可抵抗攻击或故障的强大系统的需求。

InfoQ:您的书与 CERT Oracle Java安全编码标准有 什么关系? 阅读该指南后或结合使用该指南

作者: Java的CERT Oracle安全编码标准定义了Java安全编码规则,如果违反这些规则,可能会导致可利用的漏洞。 Java Coding Guidelines包含的建议通常应可提高软件的安全性和可靠性,尽管对这些建议的任何特定违反均不表示代码中存在缺陷。 最好同时使用这两本书,因为它们提供了独立的指导,您会发现两本书之间几乎没有重叠。 大多数准则都提供了要遵循的通用编码原则,而编码标准列举了要避免的错误。 Java编码指南包括对Java 的CERT Oracle安全编码标准的引用,但其编写目的是使其自成体系。

InfoQ:目前有什么工具可以自动扫描这些类型的错误的代码? 自动工具是否可以代替程序员熟悉这些概念的需要?

作者:程序员应该熟悉Java Coding Guidelines中的概念,因为避免在开发过程中引入代码中的缺陷和漏洞比在测试过程中发现或补救它们(或更糟的是在部署之后)要容易得多。 现有的大多数分析都是不完善和不完整的,这意味着这些分析可能分别导致假阴性和假阳性。 因此,开发人员必须能够确定工具发出的诊断是否违反规则,并且还必须避免或消除其他未诊断的违反行为。 CERT创建了源代码分析实验室(SCALe),该实验室使用各种静态分析器来评估代码是否违反安全编码规则。 这些工具中许多都具有非重叠功能,因此有必要使用多种工具来获得广泛的覆盖范围。 SCALe流程仅是部分自动化的; 人类分析人员仍然需要检查诊断以消除误报。

InfoQ:您是否看到团队将一个人划为“安全人”? 整个团队是否应该对安全主题保持熟悉?

作者:如果整个团队都了解安全编码,那就更好了。 每个编写代码的人都需要知道如何安全地编码,因为正确编写代码的最佳时间是在编写代码时。 如果团队中的一个人接受了额外的安全培训,则可以通过使用代码检查和安全审核来有效地传播此信息。 开发团队需要致力于开发一致的代码,这些代码可以作为参考。 开发人员还可以通过我们的时事通讯和我们的LinkedIn安全编码论坛,在www.securecoding.cert.org上参与和/或关注我们的编码标准的发展。

InfoQ:您是否经常重复看到特定的错误?

作者: Java中经常发生一些特定的错误,因为该语言在如何应用编程结构方面提供了很大的自由度。 例如,为了绕过Java提供的异常处理功能,安全编码规则ERR-08-J 不要捕获NullPointerException或经常违反其任何祖先 。 代码中的catch或throw语句过于宽泛,经常会导致错误被静默忽略。 异常处理仍然是一个充满挑战的领域,因为许多Java应用程序和Web框架将处理异常和失败方案的责任交到了开发人员手中。

CERT分析Java软件系统是否符合CERT Oracle Java安全编码标准。 我们记录的主要违反规则是:

答:EXP01-J。 永远不要取消引用空指针

B.ERR01-J。 不允许例外公开敏感信息

C.ERR07-J。 不要抛出RuntimeException,Exception或Throwable

D.ERR08-J。 不要捕获NullPointerException或其任何祖先

E.FIO04-J。 在不再需要时释放资源

F.ERR00-J。 不要抑制或忽略检查的异常

翻译自: https://www.infoq.com/articles/java_coding_guidelines-interview/?topicPageSponsorship=c1246725-b0a7-43a6-9ef9-68102c8d48e1

java java编码

cunfu6353
关注
effective_java_new:Effective_java_new
03-21
《Effective Java》是Java开发领域的一本经典著作,由Joshua Bloch撰写,它提供了许多实用的编程准则和最佳实践,旨在帮助开发者写出更高效、更健壮的Java代码。"Effective_java_new"可能指的是该书的一个更新版或...
Java要避免的前5个异常处理编码实践
Gavin_wangzg的专栏
09-12 449
不应该捕获Throwable和Error类 永远不应该调用Throwable.printStackTrace(...) 通用异常永远不应抛出Error,RuntimeExceptionThrowableException 异常处理程序应保留原始异常 不应使用System.out或System.err来记录异常 不应该捕获Throwable和Error类 try { cl = Thread.currentThread().getContextClassLoader(); }catch .
安全编码-1
rock的专栏
11-16 1947
2.1 不要抑制或忽略已检查异常:   java checked exceptions are the ones that you must handle in your code, like "SQLException" etc.        on the other hand, unchecked exceptions are the ones that you don't need t
Python通用编程规范-09 安全编程规范
zhao12501的博客
04-26 2416
1.9 安全编程规范 1.9.1 异常行为 1.9.1.1 禁止抑制或者忽略已检查异常 【说明】: 编码人员常常会通过一个空的或者无意义的catch块来抑制捕获的已检查异常。每一个catch块都应该确保程序只会在继续有效的情况下才会继续运行下去。因此,catch块必须要么从异常情况中恢复,要么重新抛出适合当前catch块上下文的另一个异常以允许最邻近的外层try-catch语句块来进行恢复工作。异常会打断应用原本预期的控制流程。例如,try块中位于异常发生点之后的任何表达式和语句都不会被执行。因此,异常必须
通过Sonar的代码质量报告学习【如何写安全高质量的代码】
AshenOne余烬
11-17 1万+
1.不要用.size(),改用isEmpty() Using Collection.size() to test for emptiness works, but using Collection.isEmpty() makes the code more readable and can be more performant. The time complexity of any is
java安全编码标准_Java安全编码标准
weixin_36302268的博客
02-16 704
Java安全编码标准输入验证和数据净化(IDS)规则风险评估概要IDS00-J净化穿越受信边界的非受信数据IDS01-J验证前标准化字符串IDS02-J在验证之前标准化路径名IDS03-J不要记录未经净化的用户输入IDS04-J限制传递给ZipInputStream的文件大小IDS05-J使用ASCII字符集的子集作为文件名和路径名IDS06-J从格式字符串中排除用户输入IDS07-J不要向Run...
Java安全编码标准
china-pub网上书店
06-14 971
Java安全编码标准》 基本信息 原书名:The CERT Oracle Secure Coding Standard for Java 作者: (美)Fred Long Dhruv Mohindra Robert C. Seacord Dean F. Sutherland David Svoboda 译者: 计文柯 杨晓春 丛书名: 华章程序员书库 出版社:机械工业出版社 IS...
Java代码规范编码规约
06-13
Java代码规范编码规约是确保代码可读性、可维护性和团队协作的重要准则。下面将详细阐述其中的关键点。 **命名规范** 1. **禁止使用拼音缩写**:避免使用像`BaoDan`和`getBaoDanInfo`这样的拼音缩写,这可能导致...
安全开发之Java Web安全编码.pdf
01-07
- **安全编码准则**: - 所有输入数据均视为有害:无论是直接还是间接的用户输入,都应被视为潜在的攻击向量,并进行严格的验证和过滤。 - 最小化原则:用户输入最小化、返回信息最小化、用户权限最小化等,以减少...
JAVA编码规范及示例
08-23
本文将详细介绍 JAVA 编码规范的十五条准则,从类名、字段、方法的命名到类的设计、代码的组织、注释和异常处理等方面。 1. 类名和字段命名 在 JAVA 中,类名的首字母应该大写,字段、方法以及对象(句柄)的首...
最容易被违背的规则
weixin_34381666的博客
01-09 204
2019独角兽企业重金招聘Python工程师标准>>> ...
CERT Secure Coding Standard — C语言安全编程规范
热门推荐
young45的专栏
12-02 1万+
原文:http://www.huangwei.me/blog/2011/02/03/cert-secure-coding-standard-1/ 译序 看完cert的C安全编程规范已经有2个多月了,我在阅读的过程中顺手把官方文档的主要目录翻译了一 下,其中包含了171条“建议”和106条“规则”,个人认为把这些作为一个C语言安全编程规范的cheatsheet是相当不错的。
CERT关于Java安全编码规范的新书
软件质量优化
09-20 4118
CERT关于Java安全编码规范的新书:Java Coding Guidelines: 75 Recommendations for Reliable and Secure Programshttp://www.informit.com/store/java-coding-guidelines-75-recommendations-for-reliable-9780321933157
CERT最近发布了Android平台上Java应用的安全编程指南
软件质量优化
05-14 2326
CERT安全编程团队,隶属于卡内基梅隆大学软件工程学院,最近发布了Android平台上Java应用的安全编程指南。CERT在该领域已经有所积累,并且在2013年发布CERT Java安全编程规范,后来出版Java编程指南:可靠安全编程的75条建议一书,该Android指南是对以上工作成果的拓展和延伸。
Java-网络
2301_81543552的博客
09-14 778
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
Java企业面试题3
最新发布
m0_74972727的博客
09-15 761
1. break和continue的作用(智*图) break:用于完全退出一个循环(如 for, while)或一个 switch 语句。当在循环体内遇到break语句时,程序会立即跳出当前循环体,继续执行循环之后的代码。 continue:用于跳过当前循环体中剩余的部分,并开始下一次循环。如果是在 for 循环中使用continue,则会直接进行条件判断以决定是否执行下一轮循环。 2. if分支语句和switch分支语句的异同之处(智*图) 相同点:都是用来根据不同的条件执行不同的代码块。
上传文件到钉盘流程详解
jspyth的博客
09-14 797
本文详解如何通过钉钉的API实现上传文件到钉盘目录,代码通过JAVA实现。
自动生成不重复的订单id
ClaireCheney的博客
09-13 340
【代码】自动生成不重复的订单id。
Java编码规范:Sun公司中文指南
这份Sun Java编码规范中文版是Java开发者不可或缺的参考文档,它提供了编写高质量Java代码的准则,有助于提升代码质量,促进团队之间的沟通与合作。通过遵循这些规范,开发者可以写出更易于理解、调试和维护的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值