声纳问题:确保该记录器的配置是安全的
我在声纳上的代码有以下问题:
确保此记录器的配置是安全的。
我写的代码是:
public static final Logger logger = Logger.getLogger("logger");
if (logLevel.equalsIgnoreCase("info"))
logger.setLevel(Level.INFO);
else
logger.setLevel(Level.ALL);
它在记录器上向我显示此错误。设置级别调用。
我如何解决这些问题?
共有1个答案
根据SonarQube规则,此规则标记启动记录器配置的审查代码。
目标是指导安全代码审查。此外,没有办法通过代码修复它,相反,您应该问问自己是否:
- 未经授权的用户可能会访问日志,要么是因为它们存储在不安全的位置,要么是因为应用程序允许访问它们。
- 日志包含正式服的敏感信息。当记录器处于调试模式时,可能会发生这种情况。
- 日志可以无限制地增长。当用户每次执行操作时都将附加信息写入日志,并且用户可以根据需要多次执行该操作时,就会发生这种情况。
- 日志没有包含足够的信息来理解攻击者可能造成的损害。记录器模式(信息、警告、错误)可能会过滤掉重要信息。他们可能不会打印上下文信息,如事件的精确时间或服务器主机名。
- 日志仅存储在本地,而不是备份或复制。
如果你对这些问题中的任何一个回答是肯定的,你就处于危险之中。
有关安全日志项目的更多信息,请查看owasp页面
-
我在Eclipse中运行声纳分析时遇到了一些问题。我有一个带有Groovy Spock单元测试Java Maven项目。 从所有这些代码中,我了解到sonar-eclipse-groovy三角形存在一些问题。任何提示都非常感谢! 编辑_______________我将GGTS重新安装到一个非共享文件夹(也称为“C:\tools”,而不是“C:\program files”)。Sonar插件使用我的
-
我的代码可以从3个字符串创建3个文件,并将其压缩到存档中,如: 在SonarQube报告中,我在这条线上找到了关键的安全热点 留言: 确保解压此存档文件是安全的 https://rules.sonarsource.com/csharp?search=Expanding归档文件是安全敏感的 我怎样才能解决这个问题?看起来对我来说很安全。 先谢谢你
-
这与log4j2版本2.13.2有关。 以下是一系列简短的事件-- 应用程序启动,并从类路径加载log4j2.xml. 应用程序按预期进行适当的日志记录。 第一次API调用发生。在内部加载log4j2_api.xml,并根据其配置进行API日志记录。 应用程序从API接收所需的数据并继续进行,但没有所需的日志记录。 我在这里的描述是--如果在新的配置中发现了预先加载的(由初始配置)记录器/追加器,
-
问题内容: 我想和詹金斯建立声纳。但是我不确定Sonar网站是否描述了两种不同的方法来执行此操作,或者是否有两个必要步骤: 据我了解,这是两种不同的方式。如果是这样的话,(Sonar本身和Sonar跑步者之间)有什么区别以及优点和缺点是什么? 问题答案: 如果要使用SonarQube和Jenkins分析项目,则需要满足以下条件: SonarQube服务器启动并运行 安装并运行SonarQube S
-
本任务将演示如何通过使用Istio认证提供的服务账户,来安全地对服务做访问控制。 当Istio双向TLS认证打开时,服务器就会根据其证书来认证客户端,并从证书获取客户端的服务账户。服务账户在source.user的属性中。请参考Istio auth identity了解Istio中服务账户的格式。 开始之前 根据quick start的说明在开启认证的Kubernetes中安装Istio。注意,应
-
我使用log4j2.properties文件在Spring Boot应用程序中实现了日志记录。 请在以下参考url中查找代码: Spring Boot-log4j2.properties创建日志文件,但不将日志写入文件 控制台日志记录正在工作,并且正在创建文件,其中一个日志正在写入文件,但其他日志没有写入文件。 在控制台中打印时,请查找记录器的差异,如下所示: 但对于两者都使用日志。打印记录器的信