<div dir="ltr"><div><br></div><div>Hello group,<br></div><div><br></div><div>I just ran findbugs [1] with the find-sec-bugs [0] and found quite a bunch of rather </div><div>suspicious places in the Keycloak codebase.</div><div><br></div><div>Note that I don&#39;t wont to blame anyone but rather try to improve the codebase :)</div><div><br></div><div>For instance there are some quite prominent (and sensitive) non-final public static fields that could </div><div>be easily changed to something else (in case they aren&#39;t inlined).</div><div><a href="https://github.com/keycloak/keycloak/blob/3c0f7e2ee2140a9e69e4e95eb24d5a122e63e09a/server-spi/src/main/java/org/keycloak/models/AdminRoles.java#L25">https://github.com/keycloak/keycloak/blob/3c0f7e2ee2140a9e69e4e95eb24d5a122e63e09a/server-spi/src/main/java/org/keycloak/models/AdminRoles.java#L25</a></div><div><br></div><div>Further more there seem to be some dead code left-overs from merges spread over the codebase e.g:</div><div><a href="https://github.com/keycloak/keycloak/blob/3a669ad7d5b4a72a8eb2bbb23e91083b63f59a2f/adapters/saml/tomcat/tomcat-core/src/main/java/org/keycloak/adapters/saml/CatalinaSamlSessionStore.java#L144">https://github.com/keycloak/keycloak/blob/3a669ad7d5b4a72a8eb2bbb23e91083b63f59a2f/adapters/saml/tomcat/tomcat-core/src/main/java/org/keycloak/adapters/saml/CatalinaSamlSessionStore.java#L144</a></div><div><br></div><div>Question is how to deal with that?</div><div>I could send PRs for those issues - they would contain quite a bunch of files </div><div>with minor changes. Would you be open to such contributions and if so, what JIRA issue </div><div>should one reference here?</div><div><br></div><div>Cheers,</div><div>Thomas</div><div><br></div><div>[0] <a href="http://find-sec-bugs.github.io/">http://find-sec-bugs.github.io/</a></div><div>[1] <a href="https://github.com/find-sec-bugs/find-sec-bugs/wiki/Maven-configuration">https://github.com/find-sec-bugs/find-sec-bugs/wiki/Maven-configuration</a> </div><div><br></div></div>