SonarQube 代码规则之漏洞

最新推荐文章于 2024-03-07 12:53:43 发布
最新推荐文章于 2024-03-07 12:53:43 发布
阅读量6.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41335690/article/details/91452882
版权

1、"@RequestMapping" methods should be “public”
2、"@RequestMapping" methods should specify HTTP method
3、“enum” fields should not be publicly mutable
4、“File.createTempFile” should not be used to create a directory
5、“File.createTempFile” should not be used to create a directory
6、“HostnameVerifier.verify” should not always return true
7、“HttpOnly” should be set on cookies
8、“HttpSecurity” URL patterns should be correctly ordered
9、“HttpServletRequest.getRequestedSessionId()” should not be used
10、“javax.crypto.NullCipher” should not be used for anything other than testing
11、“public static” fields should be constant
12、“SecureRandom” seeds should not be predictable
13、AES encryption algorithm should be used with secured mode
14、Basic authentication should not be used
15、Class variable fields should not have public accessibility
16、Classes should not be loaded dynamically
17、Credentials should not be hard-coded
18、Cryptographic keys should not be too short
19、Cryptographic RSA algorithms should always incorporate OAEP (Optimal Asymmetric Encryption Padding)
20、Cypher Block Chaining IV’s should be random and unique
21、Databases should be password-protected
22、Default EJB interceptors should be declared in “ejb-jar.xml”
23、Defined filters should be used
24、Exceptions should not be thrown from servlet methods
25、HTTP referers should not be relied on
26、LDAP connections should be authenticated
27、LDAP deserialization should be disabled
28、Member variable visibility should be specified
29、Members of Spring components should be injected
30、Mutable fields should not be “public static”
31、Mutable members should not be stored or returned directly
32、Neither DES (Data Encryption Standard) nor DESede (3DES) should be used
33、Persistent entities should not be used as arguments of “@RequestMapping” methods
34、Return values should not be ignored when they contain the operation status code
35、Security constraints should be defined
36、SMTP SSL connection should check server identity
37、Struts validation forms should have unique names
38、Throwable.printStackTrace(…) should not be called
39、TrustManagers should not blindly accept any certificates
40、Untrusted XML should be parsed with a local, static DTD
41、Weak SSL protocols should not be used
42、Web applications should not have a “main” method
43、XML transformers should be secured
摘自:sonarqube

EchoEcho66
关注
SonarQube检测出的bug、漏洞以及异味的修复整理
m0_69526738的博客
04-27 4160
Display 重复了,删除掉一个。 [](()16.Unexpected unknown type selector “element” 空样式,直接删除掉。 [](()17. Change this condition so that it does not always evaluate to “false” (更改此条件,以便它不总是评估为“false") 这是很多webservice文件中出现的一个bug。 如果后期会对webservice文件过滤,这个就可以不管了。不过也可以把这行删除掉,o.
sonarqube代码规范整理_jchaoy
07-28
通过对代码进行分析,SonarQube 可以检测出潜在的 bug、漏洞和异味,从而帮助开发者提高代码质量和安全性。本文档旨在整理 SonarQube 检测出的问题,并提供相应的解决方案,以便帮助开发者编写更加规范、安全的代码...
Spring依赖注入
所罗门,老娘回来了
01-09 1195
Spring框架中,为了确保组件之间的依赖关系得到正确管理和维护,建议使用依赖注入(Dependency Injection, DI)。依赖注入是一种设计模式,允许程序在运行时自动为类的成员变量赋值,而不是由程序员直接在代码中硬编码这些依赖关系。使用Spring的依赖注入有以下好处:1. **松耦合**:依赖注入可以使各个组件之间保持较低的耦合度,因为组件不再负责创建或查找依赖对象。这样有利于模块化开发和单元测试。2. **可扩展性**:由于组件之间解耦,添加新功能或替换现有组件变得更加容易。
SonarLint 默认扫描规则
jiaomubai的博客
05-20 9551
在平时写代码的时候,为了代码规范和减少 bug 的数量,使用 SonarLint 插件进行代码检查无疑是一个很好的方法。Sonar 是一个用于代码质量管理的开源平台,用来管理源代码的质量,通过插件的形式支持包括 Java、C++、C语言等多种编程语言的代码质量管理与检测。 Sonar 从以下七个维度来进行代码质量的检测: 不遵循代码标准:Sonar 可以通过 PMD、CheckStyle、Findbugs 等代码规则检测工具来规范代码的编写 潜在的缺陷:Sonar 可以通过 PMD、CheckStyl
SonarQube监控检测指南 持续更新中...
mky613的博客
08-14 300
SonarQube监控检测指南
openssl漏洞怎么处理_针对CBC字节反转攻击的研究与漏洞复现
weixin_39546747的博客
11-27 228
作者:Qftm合天智汇CBC 简介现代密码体制现代密码中的加密体制一般分为对称加密体制(Symmetric Key Encryption)和非对称加密体制(Asymmetric Key Encryption)。对称加密又分为分组加密和序列密码。分组密码分组密码:也叫块加密(block cyphers),一次加密明文中的一个块。是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组经过解密运...
SSL-TLS类安全漏洞及SLB安全漏洞问题
最新发布
dzqxwzoe的博客
03-07 1354
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
SonarQube代码质量管理
03-01
2. **代码规则库**:SonarQube内置了大量的代码质量规则,涵盖了多种编程语言,如Java、C#、Python、JavaScript等。这些规则涵盖了编码规范、设计模式、安全风险等多个方面,用户还可以根据项目需求自定义规则。 3....
SonarQube代码质量管理平台的配置与使用
11-04
代码规则介绍是SonarQube的核心部分,它提供了对代码问题的详细分类,如错误、警告和信息。通过这些规则SonarQube能够识别出代码中的潜在问题,帮助开发者改进代码质量。 问题处理是SonarQube质量管理的重要环节...
Gitlab提交代码时使用SonarQube扫描代码安装过程
08-15
Gitlab与SonarQube的集成是实现持续集成/持续部署(CI/CD)过程中的一个关键步骤,它有助于在代码提交时自动进行代码质量检查,确保代码符合预设的编码规范,降低潜在的缺陷和漏洞。下面我们将详细介绍如何在Gitlab中...
Gradle进阶使用结合Sonarqube进行代码审查的方法
08-26
首先,Sonarqube是一款开源的代码质量管理工具,它能够检测出代码中的潜在问题,包括但不限于bug、漏洞代码复杂度和重复等,被称为“七宗罪”。Sonarqube可以通过Docker容器快速部署,例如通过访问官方Docker Hub...
【sonar】sonar:默认的扫描规则
coolcoffee168的专栏
07-14 1万+
转自https://www.cnblogs.com/gcgc/p/11451125.html https://blog.csdn.net/liumiaocn/article/details/83550309 https://note.youdao.com/ynoteshare1/index.html?id=3c1e6a08a21ada4dfe0123281637e299&type=note https://blog.csdn.net/liumiaocn/article/details/..
Spring中@Component,@Service等注解如何被解析?
Java笔记虾
07-25 2736
本文来源:http://8rr.co/EjqL这个系列分为5篇,这是首篇1.@Component,@Service等注解是如何被解析的2.@Enableq驱动原理3.@EnableAut...
解决spring循环依赖的问题:has been injected into other beans
heboy19的博客
02-26 2万+
首先说一下什么是依赖循环,比如:我现在有一个ServiceA需要调用ServiceB的方法,那么ServiceA就依赖于ServiceB,那在ServiceB中再调用ServiceA的方法,就形成了循环依赖。Spring在初始化bean的时候就不知道先初始化哪个bean就会报错。[java] view plain copypublic class ClassA {@Autowired ClassB...
新版sonar代码审查问题总结
热门推荐
邢超的博客
10-14 4万+
主要问题列表: 格式:问题名字+问题出现的次数 Resources should be closed2 资源未关闭,打开发现有两处用到的IO流没有关闭 Conditions should not unconditionally evaluate to "TRUE" or to "FALSE"1 if/else判断里出现了重复判断,比如在if(a>10)的执行体里面又判断i
Basic Authentication - Authentication with Python(翻译草稿)
weixin_30621919的博客
08-25 183
BasicAuthentication AuthenticationwithPython 原文链接: http://www.voidspace.org.uk/python/articles/authentication.shtml#so-let-s-do-it Note ThereisaFrenchtranslationofthisarticle-A...
HTTP Authentication
menglongbor的专栏
02-10 2023
https://www3.ntu.edu.sg/home/ehchua/programming/webprogramming/HTTP_Authentication.html Authentication, Authorization and Access Control Authentication is the process of verifying "someone i
@RequestMapping 用法详解
done58的专栏
04-24 7919
RequestMapping是一个用来处理请求地址映射的注解,可用于类或方法上。用于类上,表示类中的所有响应请求的方法都是以该地址作为父路径。 @RequestMapping is one of the most widely used Spring MVC annotation. org.springframework.web.bind.annotation.RequestMappin
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值