声纳问题：确保此记录器的配置是安全的。

Question

声纳问题：确保此记录器的配置是安全的。

11

我的代码在Sonar上出现了以下问题：

确保这个日志记录器的配置是安全的。

我编写的代码如下：

public static final Logger logger = Logger.getLogger("logger");
if (logLevel.equalsIgnoreCase("info"))
    logger.setLevel(Level.INFO);
else
    logger.setLevel(Level.ALL);

在logger.setLevel调用时，它向我显示了这个错误。

我该怎么解决这些问题？

- Nidhi

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Fonts · Accepted Answer

根据SonarQube rules，本规则用于标记需要审核的代码，该代码启动了日志记录器配置。

目标是引导进行安全代码审查。此外，无法通过代码修复它，而应该问自己以下问题：

- 未经授权的用户是否可以访问日志，可能是因为它们存储在不安全的位置或应用程序允许访问它们。 - 日志是否包含生产服务器上的敏感信息。当记录器处于调试模式时，可能会发生这种情况。 - 日志是否可以无限增长。当每次用户执行操作时向日志中写入其他信息，并且用户可以随意执行操作时，可能会发生这种情况。 - 日志是否不包含足够的信息以理解攻击者可能造成的损害。记录器模式（信息、警告、错误）可能会过滤掉重要信息。它们可能不打印上下文信息，如事件发生的精确时间或服务器主机名。 - 日志是否仅存储在本地而不是备份或复制。如果对任何一个问题回答“是”，则您面临风险。

了解更多关于安全日志项目的信息，请查看owasp页面