Предупреждение SonarQube в службе авторизации на getAuthority ()

Question

У меня есть приложение Spring Boot, и я получаю следующее предупреждение SonarQube о моем методе в строке, вызывающей getAuthority(). Как мне это исправить?

Контроль разрешений зависит от безопасности. В прошлом это приводило к следующим уязвимостям:

• CVE-2018-12999
• CVE-2018-10285
• CVE-2017-7455

@Service    
public class AuthorizationService implements UserDetailsService {

  @Autowired
  private MRepository mRepository;

  public UserDetails loadUserByUsername(String userId) {
    MEntity user = mRepository.findByName(userId);
    if (user == null) {
      throw new UsernameNotFoundException("Invalid username or password.");
    }
    return new User(user.getName(), user.getPassword(), getAuthority());
  }


  private List<SimpleGrantedAuthority> getAuthority() { //here i get the warning
    return Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN"));
  }

Answer 1

Более новые версии SonarQube не только дают вам запахи кода, проблемы и предупреждения об ошибках, но также и горячие точки безопасности. Это не проблемы с вашим кодом как таковым.

Как говорится в последующем предупреждении:

Это правило помечает код, управляющий доступом к ресурсам и действиям. Цель состоит в том, чтобы направлять проверки кода безопасности.

Это просто означает, что вы должны внимательно посмотреть, потому что Sonar определил строку в вашем коде, где предоставляются полномочия. Это помогает рецензентам определять фрагменты кода, связанные с безопасностью.

Однако SonarQube не может сказать, безопасен ли этот код или нет. Вы должны убедиться в этом сами. Это просто говорит вам, где искать дважды. Если этот код вам подходит, вы можете сделать этот SonarQube «Решить как проверено».

См. Также официальную документацию SonarQube: https://docs.sonarqube.org/latest/user-guide/security-hotspots/