代码审计报告.docx

Written by Peter at 2021 in January
代码审计报告
代码审查报告
xxxx公司
版本信息
文档标识：
当前版本：
当前状态：
草稿
发布日期：
se语句都有最后一个else以确保处理了全集
重要
是否每个switch-case语句都有最后一个default以确保处理了全集？
一般
for循环是否都使用了包含下限不包含上限的形式（k=0;k<MAX）
重要
XML标记书写是否完整，字符串的拼写是否正确?
重要
对于流操作代码的异常捕获是否有finally操作以关闭流对象?
关闭前需要判断流对象是否为空
提示
退出代码段时是否对临时对象做了释放处理?
重要
对浮点数值的相等判断是否是恰当的？
严禁使用==直接判断浮点数值。提供通用方法
重要
是否对象比较都使用了equals？
对象（包括包装类）比较必须使用equals，
而不是使用==或!=操作
重要
使用equals进行比较时是否确保比较的两个对象类型一致？
equals方法比较的对象在对象类型确定的前提下，
建议是同一类型的，例如Integer和""使用equals
是不提倡的
一般
操作Map或Properties结构对象，用于传值时是否将Key定义为常量？
Session，Request等对象的setAttribute，
getAttribute方法的key建议使用常量，
不得手工输入字符串
重要
是否在类型转换前确保了类型的兼容？
除非明确保证对象类型
重要
包装类做简单预算前是否保证非空？建议都使用包装类。
包装类进行操作前，建议进行非空（null!=xx）判断，
防止发生空指针异常
重要
对象属性在使用前是否确保被准确赋值？
只读属性（只提供get方法的成员变量）
除非特意返回固定值，否则必须提供set方法
或在其他方法调用时将其赋值
重要
方法调用前是否有非空判断？
对参数的非空判断必须出现在方法调用之前，
否则说明前面可能导致空指针或者后者判断是没有必要的，
非空判断，默认由调用者提供
重要
非线程安全的对象是否被正确保证线程安全？
DateFormat实例的format方法调用不是线程安全，
类似的情况不适合使用static定义
，建议使用ThreadLocal方式实现，
参看UnifiedCodeGenerator
一般
相同用意的成员变量是否使用了相同的命名？
不同实体Entity、VO、BO之间表示同一含义的成员变量，
建议使用相同的名称，尽量不要出现，
有的地方用username，
有的地方用userName这样的情况
可靠性（函数）
重要
入口对象是否都被进行了判断不为空？
重要
入口数据的合法范围是否都被进行了判断？
重要
是否对有异常抛出的方法都执行了try...catch保护？
重要
是否函数的所有分支都有返回值？
重要
int的返回值是否合理（负值为失败，非负值成功）
一般
对于反复进行了int返回值判断是否定义了函数来处理？
一般
关键代码是否做了捕获异常处理?
一般
字典表定义是否用枚举，或者有一个统一的定义？
重要
是否对方法返回值对象做了null检查，该返回值定义时是否被初始化?
重要
是否对同步对象的遍历访问做了代码同步?
重要
是否确认在对Map对象使用迭代遍历过程中没有做增减元素操作？
Map遍历时执行增减元素操作将抛出
ConcurrentModificationException，
对集合对象遍历时建议都不要进行增减元素操作。
重要
线程处理函数循环内部是否有异常捕获处理，防止线程抛出异常而退出?
重要
原子操作代码异常中断，使用的相关外部变量是否恢复先前状态?
重要
函数对错误的处理是恰当的？
重要
异常捕获后是否进行了日志记录或异常继续抛出？
异常捕获后如果无法处理需要继续抛出，
如果可以处理，建议将异常日志进行记录
重要
是否构造方法中不调用当前对象的构造方法
严禁在构造方法中new一个当前对象
可维护性
重要
实现代码中是否消除了直接常数（用于计数起点的简单常数例外）
重要
是否消除了导致结构模糊的连续赋值（如a=(b=d+c)）
重要
是否正确使用了日志记录?
一般