coverity java_coverity&fortify1--Poor Error Handling: Overly Broad Catch

最新推荐文章于 2022-01-07 16:46:39 发布
最新推荐文章于 2022-01-07 16:46:39 发布
阅读量1.9k 收藏
点赞数
文章标签: coverity java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35795512/article/details/114491994
版权

1.告警描述:

多个 catch 块看上去既难看又繁琐,但使用一个“简约”的 catch 块捕获高级别的异常类(如 Exception),可能会混淆那些需要特殊处理的异常,或是捕获了不应在程序中这一点捕获的异常。本质上,捕获范围过大的异常与“Java 分类定义异常”这一目的是相违背的。

2.风险:

随着程序的增加而抛出新异常时,这种做法会十分危险。而新发生的异常类型也不会被注意到。

3.例子:

try{

//IOoperation

//

}

catch(Exception ex){

Log(ex);

}

Fortify建议你分别处理可能出现的异常,因为不同类型的异常需要不同的处理方法,所以应该把try{}里可能出现的异常都枚举出来,然后分别处理,正确的代码写法如下:

try {

//IOoperation

//

}

catch (IOException e) {

logger.error("doExchange failed", e);

}

catch (InvocationTargetException e) {

logger.error("doExchange failed", e);

}

catch (SQLException e) {

logger.error("doExchange failed", e);

}

韩金虎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4719
Fortity 安全评测结果及解决方案
Poor Error Handling: Return Inside Finally
Misssyou的博客
01-15 2376
1、摘要 finally块内部返回,这将导致异常丢失, 2、解释 finally块中的return语句将导致丢弃try块中可能引发的任何异常。 3、例子 public static class MagicException extends Exception { } public static void main(String[] args) { System.out.println("Wat...
coverity java_Java静态代码检查工具?
weixin_36321633的博客
02-19 327
建议看看CodePecker1、 完全自主知识产权,全部由国内信息安全技术人员研发,避免了外国同类产品的安全隐患。目前本产品已获得软件注册权登记证书6项,分别是《JAVA/JSP语言Codepecker源代码分析软件V1.0》(软著登字第0670475号)、《C/C++语言Codepecker源代码缺陷分析系统V1.0》(软著登字第1090327号)、《Python语言Codepecker源代码缺...
coverity java_coverity检测不到代码 | 学步园
weixin_33514163的博客
02-23 452
我配好coverity后发现每次检测都是Analysis summary report:------------------------Files analyzed : 0New defects found : 0后来对比别人的脚本发现,在配置coverity的时候cov-configure --compiler 后面我用的/usr/bin...
coverity_关注点:Coverity,解决Java的安全难题
06-28 596
如果您近几个月来一直关注技术站点,那么您可能已经注意到Java不断涌现的各种安全隐患。 诚然,我们 大多 谈论 的客户端,但它是整个Java品牌特别是有毒的,尤其是当 苹果withdr 东 西 从Mac浏览器 的 Java 小程序 。 尽管 更精明的技术负责人意识到Java堆栈和Java与浏览器之间的关系之间的明显差异,但技术新手执行官可能没有这么做。 但有其实问题就在开发过程中的心脏 ...
异常的捕获和处理
qq_47718177的博客
06-05 328
异常的概述: 认识异常: 异常时指在程序的运行过程中所发生的不正常时间,比如文件找不到,网络连接中断,数组xia'biao'yue'x
coverity-1.2.8-h-1.jar
03-05
jar包,官方版本,自测可用
if (PREDICT_TRUE (inner_ip4->protocol == IP_PROTOCOL_TCP)) { inner_L4_checksum = &((tcp_header_t *) (inner_ip4 + 1))->checksum; *inner_L4_checksum = ip_csum_fold (ip_csum_sub_even (*inner_L4_checksum, *((u64 *) (&inner_ip4->src_address)))); } else if (PREDICT_TRUE (inner_ip4->protocol == IP_PROTOCOL_UDP)) { inner_L4_checksum = &((udp_header_t *) (inner_ip4 + 1))->checksum; if (*inner_L4_checksum) *inner_L4_checksum = ip_csum_fold (ip_csum_sub_even (*inner_L4_checksum, *((u64 *) (&inner_ip4->src_address)))); } else if (inner_ip4->protocol == IP_PROTOCOL_ICMP) { //We have an ICMP inside an ICMP //It needs to be translated, but not for error ICMP messages icmp46_header_t *inner_icmp = (icmp46_header_t *) (inner_ip4 + 1); //Only types ICMP4_echo_request and ICMP4_echo_reply are handled by icmp_to_icmp6_header inner_icmp->type = (inner_icmp->type == ICMP4_echo_request) ? ICMP6_echo_request : ICMP6_echo_reply; inner_L4_checksum = &inner_icmp->checksum; inner_ip4->protocol = IP_PROTOCOL_ICMP6; } else { /* To shut up Coverity */ os_panic (); }
07-13
1. 如果 `inner_ip4->protocol` 等于 `IP_PROTOCOL_TCP`,则进入第一个条件语句块。在这里,通过指针操作找到内部 TCP 头部,并计算校验和。校验和的计算使用了 `ip_csum_sub_even()` 函数,并通过 `ip_csum_fold()`...
coverity-1.2.8-h-1-sources.jar
03-05
jar包,官方版本,自测可用
jenkins插件--synopsys-coverity用作安全扫描自动化
03-01
jenkins插件--synopsys-coverity用作安全扫描自动化
fortify安全基础知识 不同语言软件安全漏洞
05-27
1.软件安全基础知识 2.Java语言软件安全漏洞 3.CC++语言的软件安全漏洞 4.dotNET语言软件安全漏洞
/home/yuzhou/cov-analysis-linux64-2022.3.0/bin/cov-commit-defects --dir /home/yuzhou/Coverity --stream "10056024_Smart_ADCU_SOC" --url https://coverity.asux.aptiv.com --user committer_cnshg02 --password vitpAoG38 Coverity Defect Commit Client version 2022.3.0 on Linux 5.19.0-41-generic x86_64 Internal version numbers: 167d7e235a p-2022.3-push-48 [ERROR] From server: Authentication failure. Elapsed time: 00:00:03
最新发布
07-25
1. 检查URL是否正确。确保将`https://coverity.asux.aptiv.com`替换为正确的Coverity服务器URL。 2. 确保服务器支持提供的身份验证方式。有时服务器可能需要其他身份验证方式,如API密钥或令牌。 3. 检查网络连接...
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
常见codeDEX问题及处理方案
蓝关故人
08-27 1万+
Fortify工具介绍 Fortify静态代码分析器(SCA)通过以更少的工作量,更短的时间识别漏洞并保持代码质量,在帮助创建安全软件方面发挥着重要作用。Fortify SCA检测到其他静态测试技术无法比拟的广泛问题。Fortify软件安全研究组是一个全球团队,被业界公认为监控新兴威胁的顶级安全组织,他们的知识汇集到Fortify SCA(以及所有其他Fortify产品)中,因此组织可以掌握最新...
常见错误2:Too broad exception clause
放开那只大熊猫
12-02 1万+
 Too broad exception clause:捕获的异常过于宽泛了,没有针对性,可以通过指定精确的异常类型来解决
coverity代码检测工具介绍_Coverity代码扫描工具
weixin_39534121的博客
12-20 3515
1.说明:Coverity代码扫描工具可以扫描java,C/C++等语言,可以和jenkins联动,不过就是要收钱,jenkins上的插件可以用,免费的,适用于小的java项目2.这是Coverity的github地址 https://github.com/jenkinsci/coverity-plugin3.以下是coverity在jenkins上操作 jenkins=詹...
Android Converty问题解决方案
张三的博客
04-06 5580
1.线程的使用    不建议使用的方法:       new Thread() {           public void run() {                           doPost(mContext, url, params, callback);         }}.start(); 建议使用: new Thread(new Runnable() {
Coverity 代码静态安全扫描工具 : 认识Coverity
baidu_31295661的博客
01-07 2万+
【摘要】 Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。 1. 概述 Coverity是一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。 在编写代码时,Coverity尽早识别关键的软件
Coverity介绍以及典型缺陷说明
热门推荐
yourenshuo的博客
05-22 2万+
Coverity概述   Coverity公司是由一流的斯坦福大学的科学家于2002年成立的,产品核心技术是1998年至2002年在斯坦福大学计算机系统实验室开发的,用于解决一个计算机科学领域最困难的问题,在2003年发布了第一个能够帮助Linux、FreeBSD等开源项目检测大量关键缺陷的系统。Coverity公司推出的综合开发测试平台,基于新一代的不做代码规则检查、只专注检测代码中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值