SonarQube - может предоставлять внутреннее представление путем сохранения внешнего изменяемого объекта

Question

приведенный ниже код выдает ошибку при запуске через SonalQube для уязвимости кода.

public class Myclass{

String[] text;

public MyClass(String [] texts){
this.texts = texts;
}
}

Приведенный выше код вызывает ошибку уязвимости: Может открывать внутреннее представление путем сохранения внешнего изменяемого объекта

Answer 1

Как уже упоминалось в комментариях, массивы передаются по ссылке в Java (как все сложные объекты). Это означает, что существует возможность передать действительный Sting [] вашему классу, и после того, как вы проверили его и сохранили, вызывающий объект изменяет содержимое массива на то, что ему когда-либо нужно.

Так что если вы хотитезакройте эту уязвимость, вам нужно хранить массив следующим образом:

public class SaveArrayContainer {

public String[] data;

    public SaveArrayContainer(String[] array) {
        data = Arrays.copyOf(array, array.length);
    }
}