Я думаю, что это ложное срабатывание, и вы можете просто отключить предупреждение о ворсе.Правило lint ищет любую переменную с именем password, но атака по времени актуальна только тогда, когда задействованы данные, неизвестные клиенту, например, при проверке пароля, указанного клиентом, пытающимся войти в систему по отношению ксохранен правильный пароль.Похоже, этот код просто проверяет новый пароль, устанавливаемый аутентифицированным пользователем.
При этом, во избежание временных атак, когда они актуальны, веб-поиск нашел меня документация правила , которая ссылается на сообщение с предлагаемым решением для сравнения двух паролей в постоянное время с использованием побитовых операций.(Можно подумать, что эта функциональность будет где-то в библиотеке. Может быть, это так.)