2. 程式人生 > >記錄安全掃描後進行的程式碼重構各類問題以及處理辦法

記錄安全掃描後進行的程式碼重構各類問題以及處理辦法

阿新 發佈:2018-11-26

專案因為是政府的專案,需要對程式碼進行安全掃描,花了點時間對程式碼進行重構,所以對問題做下記錄,大家有更好的解決辦法歡迎指出,會隨時進行補充問題

1Either log or rethrow this exception.(日誌或重新丟擲此異常。

處理方式:在catch中加上列印日誌

          logger.error("新增的說明資訊 ",e);

2Remove this useless assignment to local variable "XXX".(刪除這個無用的賦值到區域性變數“XXX”)

處理方式:將這兩段程式碼合併為一列 List<String> timelist = getTimeList();

3This block of commented-out lines of code should be removed.(刪除這段註釋掉的程式碼塊)

處理方式:直接將註釋的程式碼刪除

4Define a constant instead of duplicating this literal "repeatData" 3 times.(定義一個常量,而不是重複這個“repeatData”3次。

例子:在一個類裡面多次使用了一樣的字串文字

處理方式:定義類常量或者列舉類或者介面常量類,用常量來代替重複的文字

5duplicated blocks of code must be removed.(必須刪除重複的程式碼塊。)

這類問題在程式碼重構是碰到最多的

處理方式:抽取重複的程式碼塊作為一個共用的方法或者抽取工具類方法

6Refactor this code to not nest more than 3 if/for/while/switch/try statements.(重構此程式碼以不巢狀超過3 if/for/while/switch/try語句。)

這也是最常見的問題 巢狀if for過多

解決辦法:1抽取方法,

                2.使用設計模式

                3. 採用衛語句

7.Refactor this method to reduce its Cognitive Complexity from 48 to the 15 allowed.(重構這種方法,將其認知複雜性從48降低到15。)

表示一個方法行數很多比較複雜,同樣的解決辦法就是抽取方法,講一個方法拆分幾個方法

8.Method has 9 parameters, which is greater than 7 authorized.(方法有9個引數,大於7個授權引數。)

一個方法引數過多,解決辦法封裝成物件或者map

9Replace the synchronized class "StringBuffer" by an unsynchronized one such as "StringBuilder".(將同步類“StringBuffer”替換為非同步類,例如“StringBuilder”。)

其實如果用StringBuffer時 jdk也會進行鎖消除的

10Refactor this method to throw at most one checked exception instead of: java.lang.NoSuchMethodException, java.lang.IllegalAccessException, java.lang.reflect.InvocationTargetException(重構此方法以丟擲最多一個檢查異常)

解決辦法:自定義執行時異常,或者丟擲更大的異常

11NullPointerException might be thrown as 'session' is nullable here(可能會丟擲NullPointerException,因為“session”在這裡是可空的)

處理方式:加一個非空判斷

12Close this "InputStreamReader".(關閉這個“InputStreamReader”。)

輸入輸出流在finally中進行關閉

13、Add a nested comment explaining why this method is empty, throw an UnsupportedOperationException or complete the implementation.(新增一個巢狀註釋,解釋為什麼這個方法是空的,丟擲UnsupportedOperationException,或者完成這個實現。)

處理方式:因為不需要實現這個方法所以直接添加註釋解釋一下

14Make "modelparam" transient or serializable.

 

頂層介面物件或者抽象類的引用是沒有實現序列化介面的,所以實體實現了系列化的時候,這些頂層介面的引用編譯時無法確定型別

解決方法:

  1. 使用實現了序列化介面的子類
  2. 使用transient關鍵字表示不序列化該欄位

15Reduce the number of conditional operators (7) used in the expression (maximum allowed 3).

一個if的條件表示式過多問題

解決辦法提取表示式成為一個方法

變更前:

變更後:

 

相關推薦

記錄安全掃描進行程式碼重構各類問題以及處理辦法

專案因為是政府的專案,需要對程式碼進行安全掃描,花了點時間對程式碼進行重構,所以對問題做下記錄,大家有更好的解決辦法歡迎指出,會隨時進行補充問題 1、Either log or rethrow this exception.(日誌或重新丟擲此異常。) 處理方式:在catch中加上列印日

使用java8的StreamAPI對集合計算進行程式碼重構

方法: 查詢出所有部門成員中年齡大於30的員工姓名 部門物件:   員工物件:   模擬資料:   private static List<Dept> list=new ArrayList<Dept>(); pr

關於網站掃描到的幾種漏洞及處理辦法

1. Apache JServ protocol service漏洞 問題出在Tomcat的8009埠,錯誤的提示是8009埠上執行著tcp協議。 解決辦法:只能是通過關閉8009埠來實現,但是關閉埠

Android M(6.0)掃描不到藍芽裝置的處理辦法

描述:在Android6.0手機上掃描不到藍芽裝置(如Nexus6),並會丟擲一個異常: java.lang.SecurityException: Need ACCESS_COARSE_LOCA

sonarqube基礎:掃描規則:3: 指定Quality Profile進行程式碼掃描

這篇文章以前面建立的Spring boot2的web應用為例,使用自定義的Quality Profile來進行質量的檢查。 事前準備 關於spring boot+maven+jacoco+sonarqube+junit等相關基礎,請參看 spring快速入門系列中的整理,此處不再

程式碼丟擲異常進行事務回滾的兩種方式(Spring @Transactional註解)

需求 在service層的某個方法中,在執行完一個對資料庫的寫方法後,丟擲異常,再執行另一個對資料庫的寫方法,虛擬碼如下: @Transactional public void func() { dao.write(pojo1); throw new Exception("異常"

程式碼備份】原圖降取樣進行NLM濾波

檔案路徑: 濾波演算法main.m: %% 測試函式 %NLM濾波及濾波與 clc,clear all,close all; ima_ori=double(imread('F:\Users\cylan\Documents\MATLAB\TestImages\標準影象\lenna.bmp')

Jenkins整合openshift容器中進行程式碼掃描

1.Dockerfile  sonarDockerfile: (基礎slave映象參考上篇博文) FROM registry.it.com/openshift/jenkins-slave:latest #tool maven ADD apache-maven-3.5.0.tar.gz /

nikto 進行web安全掃描

[email protected]: /opt/nikto/program # perl nikto.pl -h 192.168.1.100 -p 8080 - ***** SSL support not available (see docs for SSL install) ***** - Ni

為企業提供免費程式碼安全掃描服務(每月限一次)

為提高企業軟體安全測試整體水平,解決企業軟體安全測試專案碰到的問題,同時增強與企業的溝通與交流,我們決定,從2014年3月開始,每個月提供一次免費的安全程式碼掃描服務,每月僅限一次,我們將從報名企業中篩選合適的專案,儘早報名的企業獲得免費服務的機會越高。 報名請聯絡: Email:[email&#

免費使用SonarQube 進行程式碼掃描

我有一臺線上伺服器,Sonar Qube已經配置好了,但是沒怎麼使用,貢獻出來給大夥用吧。 地址:http://www.mahoutchina.com:9010 有需要用的給我聯絡吧(站短),說明一下用途即可,程式碼不能用於非法用途,公益、慈善類組織機構優先使用,希望對

iOS程式碼重構(二)CoreData多執行緒(支援執行緒安全

CoreData對多執行緒的支援比較奇怪(按照一般的思路來說),CoreData的NSPersistentStoreCoordinator和NSManagedObjectContext物件都是不能跨執行緒使用的,NSManagedObject也不行,有人想加鎖不就完了。 前

記錄下對專案進行重構的過程

最近因為研究了Retrofit+RxJava+MVP,感覺這種組合相當好,再看看自己之前寫的程式碼,可維護性真的太差了。 由於公司專案使用的是WebService+xml,所以我寫了個Demo讓WebService+xml也能使用Retrofit+Rx+MVP

Android ImageView 獲取圖片信息進行比較

drawable 取圖 etc android ons imageview 需要 image equals ImageView a=(ImageView)findViewById(R.id.imageView2);

web安全掃描問題(常見的)分析以及解決方式

檢測 掃描 安全問題這是我上午掃描的一個網站很多地方地方不懂 在網上查了嚴重問題有Session fixtion,vulnerable javascript library..1.什麽是session fixation攻擊 Session fixation有人翻譯成“Session完成攻擊”,實際上fixat

網絡安全掃描--基礎篇

網絡掃描 網絡安全 掃描策略 前言1、了解互聯網安全領域中日趨重要的掃描技術2、了解在不同網絡場景下掃描技術手段3、熟悉linux下系統內核防護策略並能大件一個有效的系統防護體系4、增強工作安全意識,並能有效的實踐於工作場景中目錄1、熟悉主機掃描工具(fping,hping)安裝和使用2、熟悉路由

[持續交付實踐] 安全掃描自動化測試平臺實現

top jenkins 風險 security 直接 實施 job 模糊 app 前言 TesterHome有人專門加了我QQ問安全測試這個話題,所以這篇準備先聊聊持續交付中的安全測試。現在信息安全已經上升到了國家戰略的高度,特別是今年《中華人民共和國網絡安全法》頒布後,用

如何臨時規避安全掃描的高危漏洞

lock 更改 臨時 現在 linux code 描述 off -s 信息中心對機房服務器進行安全掃描,短期內如何規避高危漏洞,在不影響線上業務的情況下通過安全掃描? 問題及風險描述系統進行安全掃描,掃描出windous服務器和linux服務器皆存在高危漏洞。需要在

MySQL可重復讀采坑記錄-對事務B進行更新時,事務A提交的更新會不會影響到事務B

但是 start clas 行數 通過 基礎上 transacti 隔離 delete 之前線上出現數據重復插入的問題,通過對問題進行排查發現該問題和MySQL的默認隔離級別-Repeatable Read(可重讀)有關系,可重復讀確保同一事務的多個實例在並發讀取數據時,會

Cent os 7 安裝進行網絡配置

cent os 7 網絡配置最近剛剛換了新公司,發現使用的系統版本都為7的版本了,已經拋棄了6的版本,因為對7使用還不太熟悉,趕緊周末安裝一個cent os 7 試試,結果發現網絡配置居然有坑。默認沒有eth這種顯示了,具體的就不多說了,親測vmware下這樣配置是可以ssh是可以連通的首先iptables/