Java开发的五条安全小贴士，助你的项目更安全

前言

得益于Java的完备生态，Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说，很少会去关注安全相关的问题，没有养成良好的开发习惯，在开发过程中容易带来安全隐患。

我们在本文中总结了五条简单有效的小建议。

一、及时更新依赖组件版本

在Java开发中，开发者经常会用到各类开源组件来实现自己的功能点，但是许多开发者不常关注安全资讯，不了解开源组件的哪个版本存在什么样的漏洞，从而可能会引入安全漏洞。

所以在选择开源组件版本的时候，应优先选择最新发布的组件，因为最新版本的组件通常都会解决历史安全问题，因此使用最新版本组件可以将安全风险降到最低。

二、添加安全相关的HTTP请求头

现代浏览器已经支持很多和安全相关的请求头(header)，当添加这些HTTP安全请求头时，浏览器在处理网站内容时会应用相应的安全机制，能够缓解XSS，代码注入，点击劫持等攻击方式。例如，使用Strict-Transport-Security(严格安全传输)，就可以强制要求浏览器仅通过HTTPS进行通信。

三、异常信息不输出给用户

异常对象引起的错误返回可能包含敏感信息，在系统抛出异常后，异常信息如果输出给用户，可能会被攻击者利用。例如控制输入参数来暴露应用程序的内部结构和机制，异常消息文本和异常类型可能会泄露信息，以 FileNotFoundException 为例。这些消息包含有关文件系统布局的信息，异常类型显示丢失的请求文件。

为了保护 Java 代码应用程序，开发者们应该过滤异常消息和异常类型，避免直接暴露给用户。

四、避免记录敏感信息

开发者们在开发过程中，会接收到来自用户的许多敏感信息，例如信用卡和银行卡号码、身份证、手机号和密码等信息，这些对犯罪分子来说是高度敏感和有价值的，数据盗窃对个人和组织造成巨大伤害。

开发者们应避免将此类信息明文存储在日志文件中。如果必须用到身份证等任何敏感信息，可以考虑仅记录身份证号的特征信息，例如最后四位数字或者hash，并确保使用经过验证的脱敏工具库对其进行加密。

五、保持代码的简洁

相对而言，越复杂的代码越容易出现问题，所以开发者应该尽量保持代码的简洁。

以下是一些保持代码简洁的实践：

在不减少功能的情况下使其组织结构尽可能简单。
在代码中避免公开过多的测试用户信息，有助于保持安全性和可维护性。
充分利用 Java 的访问修饰符，尽可能为类、方法及其属性声明最严格的访问级别，将可以设置为私有的内容都设置为私有。
定义尽可能小的 API 和接口对象，解耦组件并使它们在尽可能小的范围内交互，这样即便应用程序的某一个组件被攻击，但是其他组件还是安全的。

总结

安全问题绝大多数都是因为开发人员的安全意识薄弱所导致的，开发者们应该在Java开发的时候，提高代码安全意识和遵守代码安全规范，这会有效提高系统的安全性与流畅性。

参考链接

https://coralogix.com/blog/be...

https://www.synopsys.com/blog...

使用墨菲安全的开源工具帮您快速检测代码安全

开源地址：https://github.com/murphysecu...
产品官网：https://murphysec.com
IDE插件：欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件，一键检测一键修复～

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

关于墨菲安全实验室

墨菲安全实验室是墨菲未来科技旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。