JPCERTという団体が、Javaのセキュアコーディングについて、本家のCERTの用例集を訳しているのだけど、これがすごく充実していてありがたい。

https://www.jpcert.or.jp/java-rules/introduction-j.html

例えば、「プログラムはjava.lang.NullPointerExceptionをキャッチしてはならない。」では、そうすべきでない理由として、その方がオーバーヘッドが少ない、もしキャッチしてしまうとどこで起きた例外なのか分からないなどを挙げている。

そして、いくつかのパターンとともに何がまずいのかを具体的な例を挙げています。ほんとうに勉強になりました。