别再让Fortify扫出低级错误了！这19个Java代码安全与质量问题，你中招了几个？-平芜编程栈

Java代码安全自查手册：19个Fortify常见问题深度解析

每次提交代码前，团队里总有几个同事会突然紧张起来——Fortify扫描报告又要出来了。作为经历过上百次安全扫描的老手，我整理了一份"避坑指南"，帮你把那些看似简单却频繁出现的低级错误一网打尽。

1. 字符串处理中的隐藏陷阱

字符串比较是Java开发中最基础的操作，但Fortify扫描出的前三大问题中有两个与之相关。最常见的是地区依赖比较（Locale Dependent Comparison）：

// 错误示例 if (input.toUpperCase().equals("ADMIN")) {...} // 正确做法 if (input.toUpperCase(Locale.ENGLISH).equals("ADMIN")) {...}

土耳其地区用户可能会遇到意外情况，因为他们的字母"I"大写后不是"I"。同样危险的还有字符串相等判断：

错误用法	推荐替代	原因
== 或 !=	equals()	比较对象而非内容
toUpperCase().equals()	equalsIgnoreCase()	避免地区差异

提示：所有用户输入比较操作都应考虑地区设置，特别是权限检查等关键路径

2. 反射与访问控制的正确姿势

使用反射直接修改字段访问权限是另一个高频问题：

// 危险操作 Field field = obj.getClass().getDeclaredField("secret"); field.setAccessible(true); // Fortify会标记此处 // Spring安全方案 ReflectionUtils.makeAccessible(field); // 使用Spring工具类

必须警惕的反射使用场景：

绕过权限检查访问私有字段
动态加载未经验证的类
修改final字段内容

我曾见过一个案例：攻击者利用反射修改了权限校验字段，直接获取了管理员权限。安全团队花了三天才追踪到这个隐蔽的后门。

3. 资源泄漏与流处理规范

数据库连接和文件流泄漏占Fortify问题的15%。JDK 7+的try-with-resources语法能自动处理关闭：

// 传统方式需要手动关闭 FileInputStream fis = null; try { fis = new FileInputStream(file); // ... } finally { if (fis != null) fis.close(); // 容易遗漏 } // 现代写法（自动关闭） try (InputStream is = new FileInputStream(file); OutputStream os = new FileOutputStream(out)) { // ... }

必须检查的资源类型：

数据库连接（Connection）
文件流（FileInputStream/OutputStream）
网络套接字（Socket）
内存映射文件（MappedByteBuffer）

4. 安全配置常见误区

跨域配置不当是前端安全问题的主要来源：

// 危险配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 对所有路径开放 .allowedOrigins("*"); // 允许所有来源 } }; } // 最小权限原则 registry.addMapping("/api/**") .allowedOrigins("https://trusted.com") .allowedMethods("GET", "POST");

构建安全 checklist：

[ ] 是否使用官方Maven仓库（避免外部依赖）
[ ] 生产环境是否移除调试端点
[ ] 敏感信息是否出现在日志/注释中
[ ] 是否配置了默认错误页面

5. 空指针防御编程实战

NullPointerException常年位居Java异常榜首。Optional是Java 8后的优雅解决方案：

// 传统判空 if (user != null && user.getProfile() != null) { String name = user.getProfile().getName(); } // Optional链式调用 String name = Optional.ofNullable(user) .map(User::getProfile) .map(Profile::getName) .orElse("default");

空安全最佳实践：

方法返回集合时返回空集合而非null
@NonNull/@Nullable注解明确契约
使用Objects.requireNonNull做参数校验
数据库字段设置NOT NULL约束

6. 异常处理的精细控制

catch块写Exception是代码审查常见问题：

// 过于宽泛 try { sensitiveOperation(); } catch (Exception e) { // 会掩盖具体异常 logger.error("操作失败"); } // 精确捕获 try { sensitiveOperation(); } catch (AuthenticationException e) { throw new SecurityException("认证失败", e); } catch (IOException e) { logger.error("IO异常", e); throw new BusinessException("操作失败", e); }

异常处理原则：

永远不要吞掉异常（空catch块）
检查异常与非检查异常区别对待
在合适层级处理异常（DAO层不处理业务异常）
异常信息中不包含敏感数据

7. 密码与敏感数据管理

在代码中硬编码密码听起来很荒谬，但Fortify每周都能扫出这类问题：

// 绝对禁止 // 密码：admin123 String password = "admin123"; // 配置文件也要加密 spring.datasource.password=ENC(AES加密后的密文)

敏感信息管理方案：

使用专业的密钥管理服务（如Vault）
配置文件加密（Jasypt等工具）
内存中使用后立即清空（填充随机数据）
禁止在日志记录敏感数据

8. 线程安全与并发陷阱

在Web容器中直接创建线程是典型反模式：

// 危险操作 @GetMapping("/async") public void asyncTask() { new Thread(() -> { // 后台处理 }).start(); // 容器无法管理这些线程 } // 正确方式 @Async // 使用Spring线程池 public CompletableFuture<Result> asyncTask() { // ... }

并发编程要点：

避免使用synchronized修饰方法
优先使用并发集合（ConcurrentHashMap）
注意SimpleDateFormat等非线程安全类
使用Atomic类替代volatile

9. XSS防御全方案

持久型XSS是最危险的Web漏洞之一：

// 危险做法 @PostMapping("/comment") public String addComment(String content) { // 直接存储未过滤内容 repository.save(new Comment(content)); return "success"; } // 防御措施 String safeContent = HtmlUtils.htmlEscape(content);

多层次防御策略：