我無法找出問題HP Fortify SCA正在報告的問題的解決方案。 它報告的問題是:HP Fortify假硬編碼密碼 - Java
硬編碼密碼,可以在某種程度上 不能輕易妥協補救系統的安全性。
代碼看起來與此類似:
@Configuration
public class MySpringConfig {
private final String userName;
private final String password;
@Autowired
public MySpringConfig(
@Value("${my.userName}") final String userName,
@Value("${my.password}") final String password) {
this.host = host;
this.userName = userName;
this.password = password;
}
...
}
我不明白爲什麼會Fortify的認爲這是一個硬編碼密碼。密碼作爲參數傳遞給構造函數,它來自Spring @Value
。
我已經考慮使用@FortifyNotPassword
來阻止這種誤報,但這實際上是一個密碼。我寧願不使用該註釋,因爲它可能會遺漏實際問題,如記錄此字段的值。