Logging 声纳问题:确保此记录器';s的配置是安全的
我在声纳上的代码有以下问题: 确保此记录器的配置是安全的 我编写的代码是:Logging 声纳问题:确保此记录器';s的配置是安全的,logging,sonarqube,issue-tracking,Logging,Sonarqube,Issue Tracking,我在声纳上的代码有以下问题: 确保此记录器的配置是安全的 我编写的代码是: public static final Logger logger = Logger.getLogger("logger"); if (logLevel.equalsIgnoreCase("info")) logger.setLevel(Level.INFO); else logger.setLevel(Level.ALL); 它在logger.setLevel调用中向我显示此错误 如何解决这些问题?根
public static final Logger logger = Logger.getLogger("logger");
if (logLevel.equalsIgnoreCase("info"))
logger.setLevel(Level.INFO);
else
logger.setLevel(Level.ALL);
它在logger.setLevel
调用中向我显示此错误
如何解决这些问题?根据,此规则标记启动记录器配置的审阅代码
目标是指导安全代码审查。此外,没有办法通过代码修复它,相反,您应该问问自己是否:
- 未经授权的用户可能可以访问日志,这可能是因为日志存储在不安全的位置,也可能是因为应用程序允许访问日志
- 日志包含生产服务器上的敏感信息。当记录器处于调试模式时,可能会发生这种情况
- 原木可以无限生长。当用户每次执行操作时,都会将附加信息写入日志中,并且用户可以根据自己的需要多次执行该操作时,就会发生这种情况
- 日志中包含的信息不足以理解攻击者可能造成的伤害。记录器模式(信息、警告、错误)可能会过滤掉重要信息。它们可能不会打印上下文信息,如事件的精确时间或服务器主机名
- 日志仅存储在本地,而不是备份或复制