1

我在 Fortify SourceAnalyzer 中看到以下警告,用于我的类,它实现了ISerializer接口IDeSerializer:-

“缺少 SecurityManager 检查:可序列化”。

这是一个安全漏洞,因为如果您正在序列化一些敏感数据并在类的构造函数中放置了安全管理器检查以避免未经检查地创建新对象实例。您必须覆盖 write 方法并将相同的安全管理器检查放入 write 方法中。(因为有些人仍然可以从序列化字节创建一个新实例,因为没有 java 控制从序列化字节创建的对象,它只会反序列化这些字节,所以避免的唯一方法是在写入中放置相同的安全管理器检查方法)。

如果我正在序列化一些敏感数据并将安全管理器检查放在构造函数中,上述解释就很好了。但是,如果我有不敏感的数据并且我想在没有任何安全管理器检查构造函数的情况下对其进行序列化。我仍然从 Fortify 报告中得到了上述警告。我不确定如何消除此警告,这是 Fortify 工具中的错误还是我遗漏了什么?

注意:- 我不希望任何安全管理器检查我的构造函数。

4

1 回答 1

3

我从 Fortify 得到了一些不同的解释,因为这个问题通常不是指write,而是指read(反序列化)。背景是反序列化数据时不调用构造函数,因为运行时负责从序列化数据中初始化成员,因此当您SecurityManager的构造函数中有 a 时,通过反序列化创建实例时不会考虑。

无论如何,对于您的问题,如果您已经分析了问题并得出结论认为它不是问题,您可以在审核问题时将其标记为此类。这在 Fortify SSC(中央强化服务器)和 Audit Workbench (AWB) 中都是可能的。在 Fortify SSC 中,转到您的问题列表,选择特定问题的“查看详细信息”,然后在左下角选择“分析:不是问题”。AWB 中存在类似的选项。

如果您正在执行后续扫描并将它们上传到服务器(或使用 AWB 合并它们),Fortify 会识别出此问题已被审核并较早标记为“不是问题”并保留“不是问题”信息。

于 2013-01-16T10:31:34.800 回答