其工作方式: 限制对 Java API 的访问
缺省情况下,从 Java 应用程序调用 Java 运行时 API 没有安全限制。 有时,您可能希望防止无意使用某些 API。 例如, java.lang.System.exit() 方法会导致 JVM 和所有正在运行的应用程序立即终止。
要防止在 JVM 中使用特定 API ,您可以从以下两种常见方法中进行选择:
- 代码扫描
- 代码扫描是分析源代码以识别安全漏洞和编码错误等问题,并强制实施编码标准的实践。 您可以将各种现代工具与现代开发管道结合使用,以限制 Java 应用程序可访问的资源和 API。
- Java 安全管理器
- 停用:
Java 17 Java 安全管理器已废弃。 更多信息,请参见 JEP 411。 不建议在 CICS® JVM 服务器环境中使用。
Java 安全管理器提供了一种基于策略的细粒度访问控制机制,在允许访问系统资源(如文件 I/O 或系统属性)或特定 Java API 之前会检查权限。 可以通过启用 Java 安全管理器在 JVM 级别启用此功能。