Я запустил приложение java против инструмента checkmarkx для обеспечения безопасности, и он постоянно дает проблему - проверка кучи, для моего поля пароля, для которого я использую массив символов. Это не дает больше объяснений, чем просто указание объявления поля пароля.Уязвимость, связанная с уязвимостью кучи
private char[] passwordLength;
Может ли кто-нибудь помочь мне здесь, что еще я могу найти для этого?
Проверка кучи - это конфиденциальная информация, хранящаяся в памяти устройства, незашифрованная, так что, если злоумышленник выполняет дамп памяти (например, ошибку Heartbleed), эта информация скомпрометирована. Таким образом, просто сохранение этой информации делает ее уязвимой.
Можно уменьшить это, сохранив такую конфиденциальную информацию в защищенном виде, например объект GuardedString, вместо массива String или char, или зашифруйте его и очистите исходный короткий после.
Для получения дополнительной информации см. this CWE (описывается C/C++, но такая же релевантность для Java).