我正在浏览我的项目的代码分析报告,并遇到了很多关于空取消引用的问题。
我们总是将对象声明为 null。比方说
字符串 str = 空;
使用条件运算符执行业务逻辑
if (a.equals(b)) { s = "Assigned"; }
然后将字符串分配给值对象。
form.setString(str);
我们在代码库中的任何地方都遵循了类似的编码实践,并在整个代码库中完美地处理了非空检查。
但是我们仍然遇到"空取消引用"安全漏洞问题。我认为这不是一个有效的漏洞,因为我们在访问 VO 中的任何变量之前不会进行空检查。
可能有一个有效的参数,如果业务逻辑不执行并在 VO 中设置 null 会发生什么。但是在访问它之前,它得到了很好的处理。
也
我在初始化空白字符串(或任何原始数据类型)而不是 null(具有等效项)时没有任何问题。如果我添加空支票而不是不空,这将起作用。但是,集合框架呢?如果我初始化一个数组列表并实例化它(而不是 null),它会为列表分配内存吗?
List strList = new ArrayList();
请告知,如果我可以从报告中忽略这些空取消引用问题,或者我应该通过实例化来处理它们。
我与一位安全架构师进行了交谈。如果可以证明代码段的这一部分不会产生空指针异常,则可以在工具中禁止此问题。但是需要适当的编码实践来避免在这种不需要的情况下使用 null。