Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露（堆检查）

Privacy Violation: Heap Inspection 隐私泄露（堆检查）

Abstract

将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。

Explanation

如果在使用敏感数据（例如密码、社会保障号码、信用卡号等）后不清除内存，则存储在内存中的这些数据可能会泄漏。 通常而言， String 是所用的存储敏感数据，然而，由于 String 对象不可改变，因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。 除非 JVM 内存不足，否则系统不要求运行垃圾收集器， 因此垃圾收集器何时运行并无保证。 如果发生应用程序崩溃，则应用程序的内存转储操作可能会导致敏感数据泄漏。 例 1： 下列代码可将密码从字符数组转换为 String。

private JPasswordField pf;
...
final char[] password = pf.getPassword();
...
String passwordAsString = new String(password);

此种类来源于 Cigital Java Rulepack。 http://www.cigital.com/securitypack/

Recommendation

请始终确保不再需要使用敏感数据时将其清除。 可使用能够通过程序清除的字节数组或字符数组来存储敏感数据，而不是将其存储在类似 String 的不可改变的对象中。 例 2： 下列代码可在使用密码后清除内存。

private JPasswordField pf;
...
final char[] password = pf.getPassword();
// use the password
...
// erase when finished
Arrays.fill(password, ' ');