/Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/build/intermediates/classes /Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/src/main/java/com/github/kazy1991/prefkit/annotation/PrefKey.java /Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/src/main/java/com/github/kazy1991/prefkit/annotation/PrefSchema.java /Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/src/main/java/com/github/kazy1991/prefkit/PreferenceHelper.java /Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/src/main/java/com/github/kazy1991/prefkit/PrefKit.java /Users/kazukiyoshida/.ghq/github.com/kazy1991/PrefKit/prefkit/src/main/java/com/github/kazy1991/prefkit/ServiceMethod.java パッケージプロテクテッドにすべき可変コレクションのフィールド com.github.kazy1991.prefkit.ServiceMethod.SUPPORT_LANG は、パッケージプロテクテッドにすべき可変コレクションです。 該当箇所 ServiceMethod.java:[lines 21-79] クラス com.github.kazy1991.prefkit.ServiceMethod 該当場所 ServiceMethod.java フィールド com.github.kazy1991.prefkit.ServiceMethod.SUPPORT_LANG 該当箇所 ServiceMethod.java:[line 21] Malicious code vulnerability パッケージプロテクテッドにすべき可変コレクションのフィールド

可変コレクションのインスタンスが final static フィールドに割り当てられています。 したがって、悪意のあるコードや偶然別のパッケージによって変更できます。 フィールドは脆弱性を避けるためにパッケージプロテクテッドにできます。 代わりに Collections.unmodifiableSet/List/Map などでこのフィールドをラップしても脆弱性を避けることができます。

]]>

可変 static フィールド android.content.Context android.content.SharedPreferences android.content.SharedPreferences$Editor