SV.EXEC | 过程注入 | 安全漏洞审计 | OS命令注入 | 过程注入 | 2 |
SV.SQL | SQL注入 | 安全漏洞审计 | SQL注入 | SQL注入 | 2 |
SV.SQL.DBSOURCE | 把来自数据库中未检查的信息用在SQL语句中 | 安全漏洞审计 | SQL注入 | 把来自数据库中未检查的信息用在SQL语句中 | 3 |
SV.HTTP_SPLIT | HTTP相应拆分攻击 | 安全漏洞审计 | URL注入 | HTTP相应拆分攻击 | 2 |
SV.TAINT_NATIVE | 被污染的数据进入本地代码中 | 安全漏洞审计 | URL注入 | 被污染的数据进入本地代码中 | 3 |
SV.TAINT | 被污染的数据 | 安全漏洞审计 | URL注入 | 被污染的数据 | 3 |
SV.XPATH | 未验证的用户输入被用来作为Xpath表达式 | 安全漏洞审计 | XPATH注入 | 未验证的用户输入被用来作为Xpath表达式 | 2 |
SV.EXEC.ENV | 过程注入。环境变量。 | 安全漏洞审计 | XPATH注入 | 过程注入。环境变量。 | 2 |
SV.EXEC.DIR | 过程注入。工作目录 | 安全漏洞审计 | XPATH注入 | 过程注入。工作目录 | 2 |
SV.TMPFILE | 临时文件路径损坏 | 安全漏洞审计 | XPATH注入 | 临时文件路径损坏 | 3 |
SV.PATH.INJ | 文件名注入 | 安全漏洞审计 | XPATH注入 | 文件名注入 | 3 |
SV.PATH | 路径和文件名注入 | 安全漏洞审计 | XPATH注入 | 路径和文件名注入 | 3 |
JD.UN.PMET | 未使用私有方法 | 安全漏洞审计 | 不安全的直接对象引用-MVC开发模式下 | 未使用私有方法 | 3 |
SV.EMAIL | 未检查的电子邮件 | 安全漏洞审计 | 传输层保护 | 未检查的电子邮件 | 2 |
SV.DATA.DB | 数据注入 | 安全漏洞审计 | 传输层保护 | 数据注入 | 2 |
SV.LOG_FORGING | 伪造日志 | 安全漏洞审计 | 传输层保护 | 伪造日志 | 3 |
SV.DATA.BOUND | 在可信用的储存中出现不信任的数据泄露 | 安全漏洞审计 | 传输层保护 | 在可信用的储存中出现不信任的数据泄露 | 3 |
SV.EXPOSE.STORE | 方法储存引用可变的对象 | 安全漏洞审计 | 传输层保护 | 方法储存引用可变的对象 | 4 |
SV.EXPOSE.RET | 内部表示可能被暴露 | 安全漏洞审计 | 传输层保护 | 内部表示可能被暴露 | 4 |
SV.EXPOSE.MUTABLEFIELD | 静态可变的字段可能被恶意的代码入侵 | 安全漏洞审计 | 传输层保护 | 静态可变的字段可能被恶意的代码入侵 | 4 |
SV.XSS.DB | 跨站点的脚本语言(已储存的XSS) | 安全漏洞审计 | 存储式XSS | 跨站点的脚本语言(已储存的XSS) | 2 |
SV.XSS.REF | 跨站点的脚本语言(已反映的XSS) | 安全漏洞审计 | 反射式XSS | 跨站点的脚本语言(已反映的XSS) | 2 |
SV.STRUTS.VALIDMET | 源代码形式:验证方法 | 安全漏洞审计 | 工具类 | 源代码形式:验证方法 | 4 |
SV.STRUTS.STATIC | 源代码形式:静态的字段 | 安全漏洞审计 | 工具类 | 源代码形式:静态的字段 | 4 |
SV.STRUTS.RESETMET | 源代码形式:重置的方法 | 安全漏洞审计 | 工具类 | 源代码形式:重置的方法 | 4 |
SV.STRUTS.PRIVATE | 源代码形式:非私有的字段 | 安全漏洞审计 | 工具类 | 源代码形式:非私有的字段 | 4 |
SV.STRUTS.NOTVALID | 源代码形式:不一致的验证 | 安全漏洞审计 | 工具类 | 源代码形式:不一致的验证 | 4 |
SV.STRUTS.NOTRESET | 源代码形式:不一致的重置 | 安全漏洞审计 | 工具类 | 源代码形式:不一致的重置 | 4 |
SV.PASSWD.PLAIN | 普通字符密码 | 安全漏洞审计 | 加密方法 | 普通字符密码 | 2 |
SV.PASSWD.HC.EMPTY | 空密码 | 安全漏洞审计 | 加密方法 | 空密码 | 2 |
SV.PASSWD.HC | 硬编码密码 | 安全漏洞审计 | 加密方法 | 硬编码密码 | 2 |
SV.RANDOM | 使用不安全的随机数字生成 器 | 安全漏洞审计 | 加密方法 | 使用不安全的随机数字生成 器 | 4 |
UF.SQLOBJ | 已关闭的SQL对象的使用 | 安全漏洞审计 | 注销 | 已关闭的SQL对象的使用 | 2 |
UF.SQLCON | 已关闭的SQL连接的使用 | 安全漏洞审计 | 注销 | 已关闭的SQL连接的使用 | 2 |
UF.SOCK | 已关闭的socket的使用 | 安全漏洞审计 | 注销 | 已关闭的socket的使用 | 2 |
FIN.NOSUPER | 在没有调用super.finalize()时对finalize()的实现 | 安全漏洞审计 | 异常处理规范 | 在没有调用super.finalize()时对finalize()的实现 | 3 |
FIN.EMPTY | 空的finalize()方法 | 安全漏洞审计 | 异常处理规范 | 空的finalize()方法 | 3 |
RTC.CALL | 抛出的类型是多余的 | 安全漏洞审计 | 异常处理规范 | 抛出的类型是多余的 | 4 |
JD.UNCAUGHT | 未被捕捉到的异常 | 安全漏洞审计 | 异常处理规范 | 未被捕捉到的异常 | 4 |
JD.CATCH | 捕捉运行时间异常 | 安全漏洞审计 | 异常处理规范 | 捕捉运行时间异常 | 4 |
JD.CAST.UPCAST | 针对子类型可能的类抛出异常 | 安全漏洞审计 | 异常处理规范 | 针对子类型可能的类抛出异常 | 4 |
JD.CAST.SUSP | 针对不同类型可能的类抛出异常 | 安全漏洞审计 | 异常处理规范 | 针对不同类型可能的类抛出异常 | 4 |
JD.CAST.COL | 针对集合中可能的类抛出异常 | 安全漏洞审计 | 异常处理规范 | 针对集合中可能的类抛出异常 | 4 |
EXC.BROADTHROWS | 方法有一个过宽泛的throws声明 | 安全漏洞审计 | 异常处理规范 | 方法有一个过宽泛的throws声明 | 4 |
ECC.EMPTY | 空的catch从句 | 安全漏洞审计 | 异常处理规范 | 空的catch从句 | 4 |
ANDROID.RLK.SQLOBJ | SQL对象在退出时没有被关闭 | 安全漏洞审计 | 注销 | SQL对象在退出时没有被关闭 | 1 |
ANDROID.RLK.SQLCON | SQL连接在退出时没有被关闭 | 安全漏洞审计 | 注销 | SQL连接在退出时没有被关闭 | 1 |
RLK.ZIP | Zip文件在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | Zip文件在退出时没有被关闭 | 1 |
RLK.SWT | SWT对象在退出时没有被处理 | 安全漏洞审计 | 资源泄漏 | SWT对象在退出时没有被处理 | 1 |
RLK.SQLOBJ | SQL对象在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | SQL对象在退出时没有被关闭 | 1 |
RLK.SQLCON | SQL连接在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | SQL连接在退出时没有被关闭 | 1 |
RLK.SOCK | Socket在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | Socket在退出时没有被关闭 | 1 |
RLK.OUT | 输出流在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | 输出流在退出时没有被关闭 | 1 |
RLK.NIO | NIO对象在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | NIO对象在退出时没有被关闭 | 1 |
RLK.MICRO | Java Microedition连接在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | Java Microedition连接在退出时没有被关闭 | 1 |
RLK.MAIL | Java邮件对象在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | Java邮件对象在退出时没有被关闭 | 1 |
RLK.JNDI | JNDI上下文在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | JNDI上下文在退出时没有被关闭 | 1 |
RLK.IN | 输入流在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | 输入流在退出时没有被关闭 | 1 |
RLK.IMAGEIO | ImageIO 流在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | ImageIO 流在退出时没有被关闭 | 1 |
RLK.HIBERNATE | 潜伏对象在退出时没有被关闭 | 安全漏洞审计 | 资源泄漏 | 潜伏对象在退出时没有被关闭 | 1 |
RLK.AWT | AWT对象在退出时没有被处理 | 安全漏洞审计 | 资源泄漏 | AWT对象在退出时没有被处理 | 1 |
SV.IL.FILE | 文件名泄露 | 安全漏洞审计 | 资源泄漏 | 文件名泄露 | 3 |
SV.IL.DEV | 设计信息泄露 | 安全漏洞审计 | 资源泄漏 | 设计信息泄露 | 3 |
RLK.FIELD | 储存在一个字段的系统资源发生可能的泄露 | 安全漏洞审计 | 资源泄漏 | 储存在一个字段的系统资源发生可能的泄露 | 4 |
UF.ZIP | 已关闭的zip文件的使用 | 代码规范 | 代码语法规范 | 已关闭的zip文件的使用 | 2 |
UF.OUT | 已关闭的输出流的使用 | 代码规范 | 代码语法规范 | 已关闭的输出流的使用 | 2 |
UF.NIO | 已关闭的NIO对象的使用 | 代码规范 | 代码语法规范 | 已关闭的NIO对象的使用 | 2 |
UF.MICRO | 已关闭的Java Microedition连接的使用 | 代码规范 | 代码语法规范 | 已关闭的Java Microedition连接的使用 | 2 |
UF.MAIL | 已关闭的Java邮件对象的使用 | 代码规范 | 代码语法规范 | 已关闭的Java邮件对象的使用 | 2 |
UF.JNDI | 已关闭的JNDI上下文的使用 | 代码规范 | 代码语法规范 | 已关闭的JNDI上下文的使用 | 2 |
UF.IN | 已关闭的输入流的使用 | 代码规范 | 代码语法规范 | 已关闭的输入流的使用 | 2 |
UF.IMAGEIO | 已关闭的ImageIO流的使用 | 代码规范 | 代码语法规范 | 已关闭的ImageIO流的使用 | 2 |
SV.DOS.TMPFILEEXIT | 去除临时文件 | 代码规范 | 代码语法规范 | 去除临时文件 | 3 |
JD.UMC.FINALIZE | 直接调用方法'Objent.finalize' | 代码规范 | 代码语法规范 | 直接调用方法'Objent.finalize' | 3 |
JD.IFEMPTY | 多余的'if'语句。未完成的代码 | 代码规范 | 代码语法规范 | 多余的'if'语句。未完成的代码 | 3 |
JD.IFBAD | 多余的'if'语句 | 代码规范 | 代码语法规范 | 多余的'if'语句 | 3 |
JD.BITR | 多余的表达式 | 代码规范 | 代码语法规范 | 多余的表达式 | 3 |
JD.BITCMP | 在表达式中使用非短路逻辑 | 代码规范 | 代码语法规范 | 在表达式中使用非短路逻辑 | 3 |
UMC.TOSTRING | 不需要的toString()方法需要一个字符串参数 | 代码规范 | 代码语法规范 | 不需要的toString()方法需要一个字符串参数 | 4 |
UMC.SYSOUT | 使用System.out方法调用的调试打印是不需要的 | 代码规范 | 代码语法规范 | 使用System.out方法调用的调试打印是不需要的 | 4 |
UMC.SYSERR | 使用System.err方法调用的调试打印是不需要的 | 代码规范 | 代码语法规范 | 使用System.err方法调用的调试打印是不需要的 | 4 |
UMC.GC | System.gc()方法调用是不需要的 | 代码规范 | 代码语法规范 | System.gc()方法调用是不需要的 | 4 |
UMC.EXIT | System.exit()和Runtime.exit()方法的调用不应该被使用在控制器模式 | 代码规范 | 代码语法规范 | System.exit()和Runtime.exit()方法的调用不应该被使用在控制器模式 | 4 |
SYNCH.NESTEDS | 已同步的静态方法用同样已持有的锁来调用另一个已同步的静态的方法 | 代码规范 | 代码语法规范 | 已同步的静态方法用同样已持有的锁来调用另一个已同步的静态的方法 | 4 |
SYNCH.NESTED | 已同步的方法用同样已持有的锁来调用另一个已同步的方法 | 代码规范 | 代码语法规范 | 已同步的方法用同样已持有的锁来调用另一个已同步的方法 | 4 |
SV.USE.POLICY | 直接使用Policy的方法 | 代码规范 | 代码语法规范 | 直接使用Policy的方法 | 4 |
SV.UMD.MAIN | 残余的调试模式-主要的方法 | 代码规范 | 代码语法规范 | 残余的调试模式-主要的方法 | 4 |
SV.UMC.THREADS | 错误的实践:使用线程管理 | 代码规范 | 代码语法规范 | 错误的实践:使用线程管理 | 4 |
SV.UMC.JDBC | 应用程序应该避免直接调用DriverManager.getConnection() | 代码规范 | 代码语法规范 | 应用程序应该避免直接调用DriverManager.getConnection() | 4 |
SV.UMC.EXIT | System.exit()和Runtime.exit()方法的调用不应该被使用在控制器模式 | 代码规范 | 代码语法规范 | System.exit()和Runtime.exit()方法的调用不应该被使用在控制器模式 | 4 |
SV.SOCKETS | 错误的实践:使用socket | 代码规范 | 代码语法规范 | 错误的实践:使用socket | 4 |
SV.SERIAL.SIG | 在序列类中方法readObject()和writeObject()应该有正确的特征 | 代码规范 | 代码语法规范 | 在序列类中方法readObject()和writeObject()应该有正确的特征 | 4 |
SV.SERIAL.NOWRITE | 方法writeObject()应该被定义为一个序列化的类 | 代码规范 | 代码语法规范 | 方法writeObject()应该被定义为一个序列化的类 | 4 |
SV.SERIAL.NOREAD | 方法readObject()应该被定义为一个序列化的类 | 代码规范 | 代码语法规范 | 方法readObject()应该被定义为一个序列化的类 | 4 |
SV.SERIAL.NON | 类实施'Serializable' | 代码规范 | 代码语法规范 | 类实施'Serializable' | 4 |
SV.SERIAL.INON | 界面扩展为'Serializable' | 代码规范 | 代码语法规范 | 界面扩展为'Serializable' | 4 |
SV.EXPOSE.IFIELD | 实例字段应该被制成final | 代码规范 | 代码语法规范 | 实例字段应该被制成final | 4 |
SV.EXPOSE.FIN | 方法finalize()应该有受保护的进入修饰语,而不是公共的修饰语 | 代码规范 | 代码语法规范 | 方法finalize()应该有受保护的进入修饰语,而不是公共的修饰语 | 4 |
SV.EXPOSE.FIELD | 静态字段被恶意的代码给修改 | 代码规范 | 代码语法规范 | 静态字段被恶意的代码给修改 | 4 |
SV.CLEXT.POLICY | 类扩展为'java.security.Policy | 代码规范 | 代码语法规范 | 类扩展为'java.security.Policy | 4 |
SV.CLEXT.CLLOADER | 类扩展为'java.lang.ClassLoader' | 代码规范 | 代码语法规范 | 类扩展为'java.lang.ClassLoader' | 4 |
STRCON.LOOP | 在一个循环体中针对字符串使用附加 | 代码规范 | 代码语法规范 | 在一个循环体中针对字符串使用附加 | 4 |
RR.IGNORED | 已返回的值被忽略 | 代码规范 | 代码语法规范 | 已返回的值被忽略 | 4 |
RNU.THIS | this和null的比较,但是this不能为null | 代码规范 | 代码语法规范 | this和null的比较,但是this不能为null | 4 |
RI.IGNOREDCALL | 一个被调用在不变对象上的方法的返回值被忽略 | 代码规范 | 代码语法规范 | 一个被调用在不变对象上的方法的返回值被忽略 | 4 |
REDUN.OP | 在同样表达式的两边使用可疑的操作符 | 代码规范 | 代码语法规范 | 在同样表达式的两边使用可疑的操作符 | 4 |
REDUN.NULL | 使用变量,而不是空的常量 | 代码规范 | 代码语法规范 | 使用变量,而不是空的常量 | 4 |
REDUN.FINAL | 多余的'final'修饰语 | 代码规范 | 代码语法规范 | 多余的'final'修饰语 | 4 |
REDUN.EQNULL | 用表达式和空值(从未正确)来调用可疑的equals() | 代码规范 | 代码语法规范 | 用表达式和空值(从未正确)来调用可疑的equals() | 4 |
REDUN.EQ | 在两边使用相同的表达式来调用可疑的equals() | 代码规范 | 代码语法规范 | 在两边使用相同的表达式来调用可疑的equals() | 4 |
REDUN.DEF | 表达式分配给自身 | 代码规范 | 代码语法规范 | 表达式分配给自身 | 4 |
MNA.SUS | 可疑的方法名称 | 代码规范 | 代码语法规范 | 可疑的方法名称 | 4 |
MNA.CNS | 方法名称与结构名称相同,但不是一个结构体 | 代码规范 | 代码语法规范 | 方法名称与结构名称相同,但不是一个结构体 | 4 |
MNA.CAP | 方法名称应该以非大写字母开始 | 代码规范 | 代码语法规范 | 方法名称应该以非大写字母开始 | 4 |
JD.VNU.NULL | 变量在空值被分配后从未被读取 | 代码规范 | 代码语法规范 | 变量在空值被分配后从未被读取 | 4 |
JD.VNU | 变量在被分配后从未被读取 | 代码规范 | 代码语法规范 | 变量在被分配后从未被读取 | 4 |
JD.UN.MET | 未使用的非私有的方法 | 代码规范 | 代码语法规范 | 未使用的非私有的方法 | 4 |
JD.UMC.WAIT | Wait被调用在不正确的对象中 | 代码规范 | 代码语法规范 | Wait被调用在不正确的对象中 | 4 |
JD.THREAD.RUN | 直接调用一个'Thread.run'方法 | 代码规范 | 代码语法规范 | 直接调用一个'Thread.run'方法 | 4 |
JD.SYNC.IN | 不一致的同步 | 代码规范 | 代码语法规范 | 不一致的同步 | 4 |
JD.EQ.UTC | 在不兼容的类型中调用等式 | 代码规范 | 代码语法规范 | 在不兼容的类型中调用等式 | 4 |
JD.EQ.UTA | 在不兼容的类型(数组和非数组)中调用'equals' | 代码规范 | 代码语法规范 | 在不兼容的类型(数组和非数组)中调用'equals' | 4 |
JD.CALL.WRONGSTATIC | 通过实例引用来调用静态的方法 | 代码规范 | 代码语法规范 | 通过实例引用来调用静态的方法 | 4 |
FSC.PUB | 类和它的父类中有同名的公共的字段 | 代码规范 | 代码语法规范 | 类和它的父类中有同名的公共的字段 | 4 |
FSC.PRV | 类和它的父类中有同名的私有的字段 | 代码规范 | 代码语法规范 | 类和它的父类中有同名的私有的字段 | 4 |
FSC.PRT | 类和它的父类中有同名的受保护的字段 | 代码规范 | 代码语法规范 | 类和它的父类中有同名的受保护的字段 | 4 |
JD.SYNC.DCL | 已双重检查过的锁定 | 代码规范 | 代码语法规范 | 已双重检查过的锁定 | 4 |
JD.ST.POS | 针对方法'indexOf'不正确的检查 | 代码规范 | 代码语法规范 | 针对方法'indexOf'不正确的检查 | 4 |
JD.RC.EXPR.DEAD | 导致死代码的多余的检查 | 代码规范 | 代码语法规范 | 导致死代码的多余的检查 | 4 |
JD.RC.EXPR.CHECK | 测试表达式始终是正确的 | 代码规范 | 代码语法规范 | 测试表达式始终是正确的 | 4 |
JD.OVER | 不匹配的覆盖 | 代码规范 | 代码语法规范 | 不匹配的覆盖 | 4 |
JD.NEXT | 可能的'没有此元素异常' | 代码规范 | 代码语法规范 | 可能的'没有此元素异常' | 4 |
JD.LOCK.WAIT | 用已持有的锁来调用方法'wait' | 代码规范 | 代码语法规范 | 用已持有的锁来调用方法'wait' | 4 |
JD.LOCK.SLEEP | 用已持有的锁来调用方法'sleep' | 代码规范 | 代码语法规范 | 用已持有的锁来调用方法'sleep' | 4 |
JD.LOCK.NOTIFY | 用已持有的锁来调用方法'notify' | 代码规范 | 代码语法规范 | 用已持有的锁来调用方法'notify' | 4 |
JD.LOCK | 在未锁的情况下上锁 | 代码规范 | 代码语法规范 | 在未锁的情况下上锁 | 4 |
JD.LIST.ADD | 把容器添加到自身 | 代码规范 | 代码语法规范 | 把容器添加到自身 | 4 |
JD.INST.TRUE | 多余的'instanceof'条件 | 代码规范 | 代码语法规范 | 多余的'instanceof'条件 | 4 |
JD.INF.AREC | 明显的无限递归 | 代码规范 | 代码语法规范 | 明显的无限递归 | 4 |
JD.FINRET | 最终返回到内部 | 代码规范 | 代码语法规范 | 最终返回到内部 | 4 |
ESCMP.EMPTYSTR | 无效的空字符串比较 | 代码规范 | 代码语法规范 | 无效的空字符串比较 | 4 |
EHC.HASH | 类定义了equal(),但是没有定义hashCode() | 代码规范 | 代码语法规范 | 类定义了equal(),但是没有定义hashCode() | 4 |
EHC.EQ | 类定义了hashCode(),但是没有定义equals() | 代码规范 | 代码语法规范 | 类定义了hashCode(),但是没有定义equals() | 4 |
COV.CMP | 方法compareTo()应该有签名'公共的int compareTo(对象) | 代码规范 | 代码语法规范 | 方法compareTo()应该有签名'公共的int compareTo(对象) | 4 |
CMPF.FLOAT | 在浮点类型中等式的检查 | 代码规范 | 代码语法规范 | 在浮点类型中等式的检查 | 4 |
CMP.STR | 用==号来比较字符串 | 代码规范 | 代码语法规范 | 用==号来比较字符串 | 4 |
CMP.OBJ | 用==号来比较对象 | 代码规范 | 代码语法规范 | 用==号来比较对象 | 4 |
CMP.CLASS | 通过类名来比较 | 代码规范 | 代码语法规范 | 通过类名来比较 | 4 |
UC.STRV | 不必要地创建空的字符串对象 | 代码漏洞风险审计 | 初始化检查 | 不必要地创建空的字符串对象 | 4 |
UC.STRS | 从一个字符表达式中不必要地创建新的字符串对象 | 代码漏洞风险审计 | 初始化检查 | 从一个字符表达式中不必要地创建新的字符串对象 | 4 |
UC.BOOLS | 从一个字符串表达式中不必要地创建新的布尔对象 | 代码漏洞风险审计 | 初始化检查 | 从一个字符串表达式中不必要地创建新的布尔对象 | 4 |
UC.BOOLB | 从一个布尔表达式中不必要地创建新的布尔表达式 | 代码漏洞风险审计 | 初始化检查 | 从一个布尔表达式中不必要地创建新的布尔表达式 | 4 |
SV.SHARED.VAR | 未同步地进入控制器中的静态变量 | 代码漏洞风险审计 | 初始化检查 | 未同步地进入控制器中的静态变量 | 4 |
SV.CLONE.SUP | 类实施'clone'方法,但是不实施Clonable方法 | 代码漏洞风险审计 | 初始化检查 | 类实施'clone'方法,但是不实施Clonable方法 | 4 |
SV.CLLOADER | 类别载入器的直接使用 | 代码漏洞风险审计 | 初始化检查 | 类别载入器的直接使用 | 4 |
JD.UNMOD | 无法改变地址的调整 | 代码漏洞风险审计 | 迭代器检查 | 无法改变地址的调整 | 2 |
SV.DOS.ARRSIZE | 将已污染的尺寸用作数组分配 | 代码漏洞风险审计 | 迭代器检查 | 将已污染的尺寸用作数组分配 | 3 |
SV.DOS.ARRINDEX | 将已污染的指标用作数组存取 | 代码漏洞风险审计 | 迭代器检查 | 将已污染的指标用作数组存取 | 3 |
JD.CONCUR | 可能的并行调整异常 | 代码漏洞风险审计 | 迭代器检查 | 可能的并行调整异常 | 3 |
JD.CAST.KEY | 把可疑的关键类型用来从集合中获得元素 | 代码漏洞风险审计 | 迭代器检查 | 把可疑的关键类型用来从集合中获得元素 | 4 |
SV.INT_OVF | 感染数据可能导致整数溢出 | 代码漏洞风险审计 | 缓冲区溢出 | 感染数据可能导致整数溢出 | 2 |
SV.STRBUF.CLEAN | 字符串缓冲区没有被清扫 | 代码漏洞风险审计 | 缓冲区溢出 | 字符串缓冲区没有被清扫 | 3 |
JD.BITMASK | 在位操作中可能的错误 | 代码漏洞风险审计 | 缓冲区溢出 | 在位操作中可能的错误 | 3 |
NPE.RET.UTIL | 来自一个映射或者一个集合的一个空值的解引用 | 代码漏洞风险审计 | 空指针解引用 | 来自一个映射或者一个集合的一个空值的解引用 | 1 |
NPE.RET | 来自一个方法中的空值的解引用 | 代码漏洞风险审计 | 空指针解引用 | 来自一个方法中的空值的解引用 | 1 |
NPE.CONST | 在空值来自的常量中发生空指针解引用 | 代码漏洞风险审计 | 空指针解引用 | 在空值来自的常量中发生空指针解引用 | 1 |
NPE.COND | 在空值来自的条件句中发生空指针解引用 | 代码漏洞风险审计 | 空指针解引用 | 在空值来自的条件句中发生空指针解引用 | 1 |
NPE.STAT | 一个返回值(静态的)的空指针解引用 | 代码漏洞风险审计 | 空指针解引用 | 一个返回值(静态的)的空指针解引用 | 4 |
SV.DOS.TMPFILEDEL | 为了JVM的寿命舍去临时文件 | 代码漏洞风险审计 | 内存泄露 | 为了JVM的寿命舍去临时文件 | 3 |
JD.UMC.RUNFIN | 调用runFinalizedOnExit() | 代码漏洞风险审计 | 内存泄露 | 调用runFinalizedOnExit() | 3 |
RI.IGNOREDNEW | 新创建的对象被忽略 | 代码漏洞风险审计 | 内存泄露 | 新创建的对象被忽略 | 4 |
JD.EQ.ARR | 在数组中调用'equals' | 代码漏洞风险审计 | 数组越界 | 在数组中调用'equals' | 4 |
ANDROID.RLK.MEDIAPLAYER | 媒体播放器在退出时没有被释放 | 其他 | 其它 | 媒体播放器在退出时没有被释放 | 1 |
ANDROID.RLK.MEDIARECORDER | 媒体录影机在退出时没有被释放 | 其他 | 其它 | 媒体录影机在退出时没有被释放 | 1 |
ANDROID.UF.BITMAP | 循环位图的使用 | 其他 | 其它 | 循环位图的使用 | 2 |
ANDROID.UF.CAMERA | 已发布相机的使用 | 其他 | 其它 | 已发布相机的使用 | 2 |
ANDROID.UF.MEDIAPLAYER | 已发布媒体播放器的使用 | 其他 | 其它 | 已发布媒体播放器的使用 | 2 |
ANDROID.UF.MEDIARECORDER | 已发布媒体播放器的使用 | 其他 | 其它 | 已发布媒体播放器的使用 | 2 |
ANDROID.NPE | 在一个Androind应用程序中一个空值的解引用 | 其他 | 其它 | 在一个Androind应用程序中一个空值的解引用 | 4 |
代码扫描规则
转载上一篇:Web、App测试重点
下一篇:设计测试用例方法
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
SAST——Checkmarx静态检测工具收集(2)
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx
安全性测试 代码安全 自定义 SQL