jaxb:如何影响恶意代码生成

时间:2019-03-05 13:17:37

标签: java jaxb code-generation

使用SAST工具进行静态代码分析,我们在jaxb生成的代码中获得了安全性方面的发现,并声称在getter和setter方法中“将可变对象传递给不受信任的方法”(CWE-374)。建议是先将对象克隆,然后再将其引用传递给调用方。

但是我们如何处理生成的代码中的类似问题? jaxb中有选项吗?

1 个答案:

答案 0 :(得分:1)

我不知道会影响特定代码生成的自定义选项。

我知道有两个不错的选择:

  1. 实施JAXB插件。该插件可以在发出标准生成的代码之前对其进行修改,也可以生成其他代码以实现所需的功能。有很多可以帮助您入门的JAXB插件示例,但是详细信息超出了StackOverflow此处单个问题的范围。
  2. 对生成的代码进行后处理,例如使用maven replacer插件。如果您可以编写一个正则表达式来匹配要在生成的类中重写的代码,则这可以快速简便。

我们目前同时使用这两种方法来管理生成的代码。

我们尚未实现的另一种可能性是向您感兴趣的方法添加注释(可以使用现有的开放源JAXB插件完成),并使用其他技术来影响代码/执行(例如注释)处理器,AOP工具)。

相关问题
最新问题