動的に作成される文字列を実行コマンドとして受け取っている java.lang.Runtime.exec() の呼び出しを報告します。

動的に作成される実行文字列は、一般的にセキュリティ違反の元になります。 このインスペクションはデフォルトではコンパイル時の定数を無視します。

例:


  String i = getUserInput();
  Runtime runtime = Runtime.getRuntime();
  runtime.exec("foo" + i); // 警告を報告します

すべての static final フィールドを定数と見なすには、インスペクションオプションを使用します。 このオプションが有効な場合、次のような文字列は無視されますので注意してください。


  static final String COMMAND = "ping " + getDomainFromUserInput() + "'";