jaxb:如何影响恶意代码生成

问题描述 投票:1回答:1

使用SAST工具进行静态代码分析,我们在jaxb生成的代码中获得安全性发现,在getter和setter方法中声称“将可变对象传递给不可信的方法”(CWE-374)。建议是,在将对象传递给调用者之前克隆对象。

但是我们如何在生成的代码中处理类似的问题呢? jaxb中有选项吗?

java jaxb code-generation
1个回答
1
投票

我不知道会影响特定代码生成的自定义选项。

我知道有两种方法可以很好地工作:

  1. 实现JAXB插件。插件可以在发出之前修改标准生成的代码,或者生成附加代码以实现所需的功能。有许多JAXB插件可以帮助您入门,但详细信息超出了StackOverflow上单个问题的范围。
  2. 对生成的代码进行后处理,例如使用maven replacer插件。如果您可以编写一个正则表达式来命中您想要在生成的类中重写的代码,那么这可以快速而简单。

我们目前使用这两种方法来管理生成的代码。

我们尚未实现的另一种可能性是为您想要调整的方法添加注释(可以使用现有的开源JAXB插件完成)并使用其他技术来影响代码/执行(例如,注释处理器,AOP)工具)。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.