규칙
자바 프로그램이 실행되는 플랫폼에 대한 보안 정책을 이해하고 적용해야 한다.
SEC00-J. 권한이 있는 코드가 신뢰 경계 외부에 기밀 정보를 유출하지 못하게 한다.
SEC01-J. 권한이 있는 코드 안에서 신뢰하지 않는 변수를 사용하지 않는다.
SEC02-J. 신뢰하지 않는 외부 데이터를 직접 보안 검사하지 않는다.
SEC03-J. 신뢰하지 않는 코드가 임의의 클래스를 로드하게 허용한 후 신뢰하는 클래스를 로드하면 안된다.
SEC04-J. 보안 관리자 검사를 이용해 기밀 연산을 보호한다.
SEC05-J. 리플렉션으로 클래스, 메서드, 필드에 접근성을 확대하면 안된다.
SEC06-J. URLClassLoader와 java.util.jar 가 제공하는 기본 자동 서명 검증 기능에 의존하지 않는다.
SEC07-J. 사용자 정의 클래스 로더를 작성할 때 상위 클래스의 getPermission()메서드를 호출한다.
SEC08-J. 네이티브 메서드에 대한 래퍼를 정의한다.
작성중..
'보안 > 시큐어코딩' 카테고리의 다른 글
| [CERT JAVA 시큐어코딩표준-17] 기타(MSC) (0) | 2013.12.10 |
|---|---|
| [CERT JAVA 시큐어코딩표준-16] 런타임 환경(ENV) (0) | 2013.12.10 |
| [CERT JAVA 시큐어코딩표준-14] 직렬화(SER) (0) | 2013.12.10 |
| [CERT JAVA 시큐어코딩표준-13] 입출력(FIO) (0) | 2013.12.10 |
| [CERT JAVA 시큐어코딩표준-12] 그외 스레드 안전(TSM) (0) | 2013.12.10 |
