IBM AppDOS.ConnectionCloseの脆弱性

Question

IBM AppSourceソース・スキャナで、以下のソースにAppDOS.ConnectionCloseの脆弱性が検出されました。

私は最後のブロックで接続を閉じることで問題を解決しましたが、それでも同じことを報告しています。 db接続を閉じるパターンがありますか？

Connection nCnn = null; 

try 
{ 
    nCnn = getConnection(); 

    /* some database operation */ 


    nCnn.close() /* Reporting AppDOS.ConnectionClose vulnerability */ 


} catch (Exception e) { 
    throw new SQLException("Connection close", e); 
} 
finally 
{ 
    try { 
     if (nCnn != null) 

      nCnn.close(); /* Reporting AppDOS.ConnectionClose vulnerability */ 

    } 
    catch (Exception e) { 
     logger.error(e); 
    } 

} 

Answer 1

この修正により、問題が緩和されているはずです。修正後にAppscan Sourceが依然として問題を報告しているという事実は欠陥である可能性が高いという事実。 Appscan Sourceによる緩和の例は、次のとおりです。

try 
{ 
    Connection connection = DriverManager.getConnection(some_connection_string); 
} catch (Exception e) { 
    log(e); 
} finally { 
    connection.close(); 
}