我对我所有的代码运行 findbugs 并且只处理最重要的东西。我终于解决了最重要的问题,现在正在查看细节。我有一个简单的实体,比如用户:
public class User implements Serializable
{
protected Date birthDate;
public Date getBirthDate()
{return(birthDate);}
public void setBirthDate(final Date birthDate)
{this.birthDate = birthDate;}
}
这个类是不完整的,所以不要对我说它缺少serialVersionUID
其他标准的东西,我只是关心birthDate
安全漏洞。
现在,根据 findbugs 报告,由于我返回对可变对象的引用,因此存在潜在的安全风险。但在实践中,这真的很重要吗?
http://findbugs.sourceforge.net/bugDescriptions.html#EI_EXPOSE_REP
我想在这种情况下我仍然没有真正看到问题所在。我应该传入 along
并从中设置日期吗?
沃尔特