当前位置: 首页 > article >正文

Java常用安全编码的规范整理及工具

article 2026/1/25 3:38:09

对Java安全编码的主要规范及要求的一些整理:

一、输入验证与数据校验

  1. 外部输入校验

    • 对所有外部输入(如用户输入、文件、网络数据)进行合法性校验,采用白名单机制限制输入内容范围 ‌。
    • 校验前对输入数据做归一化处理(如使用java.text.Normalizer),防止字符转义绕过校验 ‌。

  2. 防止注入攻击

    • 禁止直接拼接外部输入生成SQL语句,应使用PreparedStatement或存储过程 ‌。
    • 避免用外部输入拼接XML或命令,需通过正则表达式或安全API过滤特殊字符 ‌。

  3. 路径安全处理

    • 对文件路径进行标准化处理(如使用getCanonicalPath()),避免相对路径(...)导致的路径遍历漏洞 ‌。

二、异常与日志安全

  1. 异常处理

    • 禁止在异常信息中暴露敏感数据(如数据库连接信息、堆栈细节),仅记录必要日志。

  2. 日志规范

    • 避免记录未净化的用户输入,防止日志注入攻击 ‌。
    • 禁止在日志中保存口令、密钥等敏感信息 。

三、资源与IO操作

  1. 文件与流管理

    • 临时文件使用后需立即删除,避免长期驻留 ‌。
    • ZipInputStream等压缩流中的条目做大小限制,防止解压炸弹攻击 ‌。
    • 避免在共享目录操作文件,创建文件时需显式设置访问权限(如POSIXFilePermission) ‌。

  2. 缓冲区安全

    • 禁止将非只读的Buffer对象(如通过wrap()duplicate()创建)暴露给不受信任的代码,应使用asReadOnlyBuffer() ‌。

四、序列化安全

  1. 敏感数据保护

    • 敏感字段需用transient关键字标记,或通过自定义writeObject()方法避免序列化 ‌。
    • 序列化传输敏感数据前需进行签名和加密 ‌。

  2. 反序列化防护

    • 避免直接反序列化不可信数据,防止利用反序列化漏洞执行恶意代码 ‌。

五、加密与算法

  1. 加密算法选择

    • 使用强加密算法(如AES-256、RSA-2048、SHA-256),禁用DES、SHA-1等弱算法。

  2. 密钥管理

    • 密钥禁止硬编码在代码中,推荐使用安全的密钥管理系统 ‌。

六、其他安全措施

  1. 并发与线程安全

    对共享资源使用线程安全类(如ConcurrentHashMap)或同步机制,避免竞态条件 ‌。

  2. 环境变量使用

    避免依赖环境变量(System.getenv()),优先使用系统属性(System.getProperty()

代码安全审计工具的分类及核心功能概览

综合开源与商业工具特点:

一、开源工具

  1. SonarQube

    • 适用语言‌:Java、C#、Python、JavaScript等20+语言
    • 功能特点‌:提供代码质量管理、漏洞检测、重复代码分析,支持与CI/CD集成,社区版开源‌。
    • 典型场景‌:适用于企业级代码质量持续监控,如Google、eBay等大型项目‌。

  2. OWASP ZAP

    • 适用语言‌:Web应用(语言无关)
    • 功能特点‌:动态安全扫描工具,支持自动化漏洞检测(如XSS、SQL注入),提供API安全测试‌。

二、商业工具

  1. Fortify SCA

    • 适用语言‌:Java、C/C++、.NET等
    • 功能特点‌:静态代码分析商业工具,支持跨语言数据流分析,集成漏洞修复建议‌。
    • 典型场景‌:金融、政府等高安全需求领域。

  2. Checkmarx

    • 适用语言‌:Java、JavaScript、Python等
    • 功能特点‌:基于深度学习的漏洞检测,支持复杂业务逻辑漏洞识别,提供交互式修复指导‌。

  3. Veracode

    • 适用语言‌:Java、C/C++、PHP等
    • 功能特点‌:云端SAST平台,支持二进制分析和依赖项扫描,提供优先级漏洞列表‌。

  4. Coverity

    • 适用语言‌:C/C++、Java、C#等
    • 功能特点‌:高精度静态分析工具,擅长发现内存泄漏、并发问题,支持大规模代码库‌。

三、工具对比

工具类型代表工具核心优势适用场景
开源SonarQube灵活扩展、社区支持中小团队、预算有限项目
商业Fortify SCA、Checkmarx深度分析、企业级支持高安全要求的金融/政府项目

四、选型建议

  • 开源工具‌:适合预算有限、需快速启动的项目,推荐SonarQube(综合管理)或OWASP ZAP(动态扫描)‌。
  • 商业工具‌:优先选择Fortify SCA(多语言支持)或Checkmarx(复杂漏洞检测)以满足深度审计需求‌。

工具选择需结合项目规模、技术栈和安全等级,建议结合自动化扫描与人工审查以提高审计覆盖率。

相关文章:

Java常用安全编码的规范整理及工具

对Java安全编码的主要规范及要求的一些整理: 一、输入验证与数据校验 ‌外部输入校验‌ 对所有外部输入(如用户输入、文件、网络数据)进行合法性校验,采用白名单机制限制输入内容范围 ‌。校验前对输入数据做归一化处理&#xff…...

编程日记 2025/12/16 11:43:55

重返JAVA之路——面向对象

目录 面向对象 1.什么是面向对象? 2.面向对象的特点有哪些? 3.什么是对象? 4.什么是类? 5.什么是构造方法? 6.构造方法的特性有哪些? 封装 1.什么是封装? 2.封装有哪些特点? 数据隐…...

编程日记 2026/1/18 17:47:56

Java设计模式全解析(共 23 种)

一、设计模式全解: Java 中的设计模式是为了解决在软件开发中常见问题的一些“最佳实践”总结。设计模式分为三大类,共 23 种经典模式: 1. 创建型模式(5 种) 用于对象的创建,解决对象实例化过程中的问题。…...

编程日记 2026/1/11 7:16:18

Python10天突击--Day 2: 实现观察者模式

以下是 Python 实现观察者模式的完整方案,包含同步/异步支持、类型注解、线程安全等特性: 1. 经典观察者模式实现 from abc import ABC, abstractmethod from typing import List, Anyclass Observer(ABC):"""观察者抽象基类""…...

编程日记 2025/11/27 22:26:09

springboot框架集成websocket依赖实现物联网设备、前端网页实时通信!

需求: 最近在对接一个物联网里设备,他的通信方式是 websocket 。所以我需要在 springboot框架中集成websocket 依赖,从而实现与设备实时通信! 框架:springboot2.7 java版本:java8 好了,还是直接…...

编程日记 2026/1/23 13:54:33

【玩泰山派】5、点灯,驱动led-(2)ubuntu18.04 升级python3.6到python3.7,安装pip3

文章目录 前言升级python3.71、安装 software-properties-common 包2、添加 deadsnakes PPA 源3、安装 Python 3.71. 安装 Python 3.72. 安装 Python 3.7 的开发包和虚拟环境支持(可选但推荐)3. 设置 Python 3.7 为默认版本4. 验证 Python 版本注意事项 …...

编程日记 2025/11/27 5:23:08

ES6学习03-字符串扩展(unicode、for...of、字符串模板)和新方法()

一、字符串扩展 1. eg: 2.for...of eg: 3. eg: 二。字符串新增方法 1. 2. 3. 4. 5....

编程日记 2026/1/23 17:19:42

c++中的this

在 C 中,this 是一个指向当前对象实例的指针,它隐式地存在于类的非静态成员函数中。以下是 this 的详细用法和常见场景: 1. 常见场景 明确成员归属:当成员变量与局部变量同名时,用 this-> 显式访问成员。当成员变量…...

编程日记 2025/12/21 6:06:16

目前状况下,计算机和人工智能是什么关系?

目录 一、计算机和人工智能的关系 (一)从学科发展角度看 计算机是基础 人工智能是计算机的延伸和拓展 (二)从技术应用角度看 二、计算机系学生对人工智能的了解程度 (一)基础层面的了解 必备知识 …...

编程日记 2026/1/24 22:47:12

Flutter 2025 Roadmap

2025 这个路线图是有抱负的。它主要代表了我们这些在谷歌工作的人收集的内容。到目前为止,非Google贡献者的数量超过了谷歌雇佣的贡献者,所以这并不是一个详尽的列表,列出了我们希望今年Flutter能够出现的所有令人兴奋的新事物!在…...

编程日记 2026/1/24 19:10:26

[数据结构]排序 --2

目录 8、快速排序 8.1、Hoare版 8.2、挖坑法 8.3、前后指针法 9、快速排序优化 9.1、三数取中法 9.2、采用插入排序 10、快速排序非递归 11、归并排序 12、归并排序非递归 13、排序类算法总结 14、计数排序 15、其他排序 15.1、基数排序 15.2、桶排序 8、快速排…...

编程日记 2026/1/24 23:25:33

第16届蓝桥杯c++省赛c组个人题解

偷偷吐槽: c组没人写题解吗,找不到题解啊 P12162 [蓝桥杯 2025 省 C/研究生组] 数位倍数 题目背景 本站蓝桥杯 2025 省赛测试数据均为洛谷自造,与官方数据可能存在差异,仅供学习参考。 题目描述 请问在 1 至 202504&#xff…...

编程日记 2026/1/24 22:47:41

记一次InternVL3- 2B 8B的部署测验日志

1、模型下载魔搭社区 2、运行环境: 1、硬件 RTX 3090*1 云主机[普通性能] 8核15G 200G 免费 32 Mbps付费68Mbps ubuntu22.04 cuda12.4 2、软件: flash_attn(好像不用装 忘记了) numpy Pillow10.3.0 Requests2.31.0 transfo…...

编程日记 2026/1/24 19:35:30

Android PowerManager功能接口详解

PowerManager 是 Android 系统中用于管理设备电源状态的核心服务,开发者可以通过它控制设备的唤醒、休眠、屏幕亮灭等行为。以下是对 PowerManager 核心功能接口的详细说明,包含使用场景、注意事项和代码示例。 1. 获取 PowerManager 实例 通过 Context…...

编程日记 2025/11/28 2:56:39

使用SSH解决在IDEA中Push出现403的问题

错误截图: 控制台日志: 12:15:34.649: [xxx] git -c core.quotepathfalse -c log.showSignaturefalse push --progress --porcelain master refs/heads/master:master fatal: unable to access https://github.com/xxx.git/: The requested URL return…...

编程日记 2026/1/24 18:17:45

Tauri 2.3.1+Leptos 0.7.8开发桌面应用--Sqlite数据库的写入、展示和选择删除

在前期工作的基础上(Tauri2Leptos开发桌面应用--Sqlite数据库操作_tauri sqlite-CSDN博客),尝试制作产品化学成分录入界面,并展示数据库内容,删除选中的数据。具体效果如下: 一、前端Leptos程序 前端程序主…...

编程日记 2026/1/24 21:21:03

关于 Java 预先编译(AOT)技术的详细说明,涵盖 GraalVM 的配置、Spring Boot 3.x 的集成、使用示例及优缺点对比

以下是关于 Java 预先编译(AOT)技术的详细说明,涵盖 GraalVM 的配置、Spring Boot 3.x 的集成、使用示例及优缺点对比: 1. 预先编译(AOT)技术详解 1.1 核心概念 AOT(Ahead-of-Time&#xff09…...

编程日记 2026/1/11 14:48:48

《车辆人机工程-》实验报告

汽车驾驶操纵实验 汽车操纵装置有哪几种,各有什么特点 汽车操纵装置是驾驶员直接控制车辆行驶状态的关键部件,主要包括以下几种,其特点如下: 一、方向盘(转向操纵装置) 作用:控制车辆行驶方向…...

编程日记 2026/1/24 19:47:37

使用多进程和 Socket 接收解析数据并推送到 Kafka 的高性能架构

使用多进程和 Socket 接收解析数据并推送到 Kafka 的高性能架构 在现代应用程序中,实时数据处理和高并发性能是至关重要的。本文将介绍如何使用 Python 的多进程和 Socket 技术来接收和解析数据,并将处理后的数据推送到 Kafka,从而实现高效的…...

编程日记 2026/1/24 17:56:05

Redis 哨兵模式 搭建

1 . 哨兵模式拓扑 与 简介 本文介绍如何搭建 单主双从 多哨兵模式的搭建 哨兵有12个作用 。通过发送命令,让Redis服务器返回监控其运行状态,包括主服务器和从服务器。 当哨兵监测到master宕机,会自动将slave切换成master,然后通过…...

编程日记 2026/1/24 19:55:08

【网络安全 | 项目开发】Web 安全响应头扫描器(提升网站安全性)

原创项目,未经许可,不得转载。 文章目录 项目简介工作流程示例输出技术栈项目代码使用说明项目简介 安全响应头是防止常见 Web 攻击(如点击劫持、跨站脚本攻击等)的有效防线,因此合理的配置这些头部信息对任何网站的安全至关重要。 Web 安全响应头扫描器(Security Head…...

编程日记 2026/1/24 17:57:11

构建灵活的接口抽象层:支持多种后端数据存取的实战指南

构建灵活的接口抽象层:支持多种后端数据存取的实战指南 引言 在现代软件开发中,数据存取成为业务逻辑的核心组成部分。然而,由于后端数据存储方式的多样性(如关系型数据库、NoSQL数据库和文件存储),如何设计一套能够适配多种后端数据存取的接口抽象层,成为技术团队关注…...

编程日记 2025/11/27 23:47:28

计算机的发展及应用

一、计算机的发展历程 计算机的发展经历了从机械计算到电子计算的跨越,其核心驱动力是 硬件技术革新 和 体系结构演进,大致可分为以下阶段: 1. 前电子计算机时代(19世纪-20世纪40年代) 机械计算装置: 16…...

编程日记 2026/1/15 9:30:35

深入理解linux操作系统---第4讲 用户、组和密码管理

4.1 UNIX系统的用户和组 4.1.1 用户与UID UID定义:用户身份唯一标识符,16位或32位整数,范围0-65535。系统用户UID为0(root)、1-999(系统服务),普通用户从1000开始分配特殊UID&…...

编程日记 2025/11/28 7:46:55

【NLP】18. Encoder 和 Decoder

1. Encoder 和 Decoder 概述 在序列到序列(sequence-to-sequence,简称 seq2seq)的模型中,整个系统通常分为两大部分:Encoder(编码器)和 Decoder(解码器)。 Encoder&…...

编程日记 2025/11/29 10:48:32

Npfs!NpFsdCreate函数分析之从NpCreateClientEnd函数分析到Npfs!NpSetConnectedPipeState

第一部分: 1: kd> g Breakpoint 5 hit Npfs!NpFsdCreate: baaecba6 55 push ebp 1: kd> kc # 00 Npfs!NpFsdCreate 01 nt!IofCallDriver 02 nt!IopParseDevice 03 nt!ObpLookupObjectName 04 nt!ObOpenObjectByName 05 nt!IopCreateFile 06…...

编程日记 2025/11/27 11:27:55

基于PySide6与pycatia的CATIA绘图比例智能调节工具开发全解析

引言:工程图纸自动化处理的技术革新 在机械设计领域,CATIA图纸的比例调整是高频且重复性极强的操作。传统手动调整方式效率低下且易出错。本文基于PySide6+pycatia技术栈,提出一种支持智能比例匹配、实时视图控制、异常自处理的图纸批处理方案,其核心突破体现在: ​操作效…...

编程日记 2026/1/24 18:04:32

STM32硬件IIC+DMA驱动OLED显示——释放CPU资源,提升实时性

目录 前言 一、软件IIC与硬件IIC 1、软件IIC 2、硬件IIC 二、STM32CubeMX配置KEIL配置 三、OLED驱动示例 1、0.96寸OLED 2、OLED驱动程序 3、运用示例 4、效果展示 总结 前言 0.96寸OLED屏是一个很常见的显示模块,其驱动方式在用采IIC通讯时,常用软件IIC…...

编程日记 2026/1/24 22:53:35

Spring Bean的创建过程与三级缓存的关系详解

以下以 Bean A 和 Bean B 互相依赖为例,结合源码和流程图,详细说明 Bean 的创建过程与三级缓存的交互。 1. Bean 的完整生命周期(简化版) #mermaid-svg-uwqaB5dgOFDQ97Yd {font-family:"trebuchet ms",verdana,arial,sa…...

编程日记 2026/1/15 0:14:33

IDEA 调用 Generate 生成 Getter/Setter 快捷键

快捷键不会用? 快捷键:AltInsert 全选键:CtrlA IDEA 调用 Generate 生成 Getter/Setter 快捷键 - 爱吃西瓜的番茄酱 - 博客园...

编程日记 2025/11/27 18:15:17