Java 使用硬编码密码[CWE-259]

在检查我的veracode问题时，我在我的一个类文件中发现CWE 259使用了硬编码密码。在检查该文件时，该文件的第1行会导致此漏洞，即我的包名。有人能告诉我为什么会发生这种情况，或者这是veracode扫描逻辑的某个缺陷吗

在这个类文件中，它们是打印单词“password”的地方。作为预防措施，我试图对这些行进行注释并再次扫描。但这一问题被放在同一条线上

package com.name.ta.etc.cse;

at MITRE的页面明确说明了该漏洞的含义，并提供了该漏洞的示例，以及纠正或缓解应用程序中漏洞的建议

诸如Veracode或SonarQube之类的代码检查工具也可以标记误报（它们检测到漏洞，但不存在）。我有一个关于Sonar标记这个问题的案例，其中我有一个静态的最终变量（即：一个常量），名称中有单词PASSWORD，Sonar认为这是实际的密码，而实际上它是从属性中查找密码的关键

---

根据您的描述，这里可能是这样的（极端条件，因为您没有提供足够的代码来判断）。如果您可以通过将word password更改为任何其他密码来重构代码，而不改变底层逻辑，也不破坏传入或传出身份验证，那么这里很可能就是这种情况。

代码中没有缺陷。它的扫描是正确的。如果它会发现任何像“pass”或“paswd”或“password”这样的关键字，它会将其提升为“缺陷”，因此您必须强制删除/替换这些关键字才能解决它。 删除/替换关键字再次扫描应用程序并检查

---

除非您不将密码存储为纯文本，否则不会有真正的安全问题。

“我试图对这些行进行注释，然后再次扫描。但问题是在同一行引发的。”您是否在扫描之前重新编译类并重新生成JAR？是的，我这样做了。由于我每次使用eclipse时，都会按默认值进行重新编译和重建，因此类文件不包含对

包的任何行号引用。如果一个工具报告第1行出现问题，那么这相当于一个未知源代码行的标志。