CA5394: Keine unsichere Zufälligkeitsstufe verwenden
| Eigenschaft | Wert |
|---|---|
| Regel-ID | CA5394 |
| Titel | Keine unsichere Zufälligkeitsstufe verwenden |
| Kategorie | Security |
| Fix führt oder führt nicht zur Unterbrechung | Nicht unterbrechend |
| Standardmäßig in .NET 9 aktiviert | No |
Ursache
Eine der Methoden von System.Random wird aufgerufen.
Regelbeschreibung
Wenn Sie einen kryptografisch schwachen Generator für Pseudozufallszahlen verwenden, kann ein Angreifer möglicherweise vorhersagen, welcher sicherheitsrelevante Wert generiert wird.
Behandeln von Verstößen
Wenn Sie für die Sicherheit einen unvorhersehbaren Wert benötigen, verwenden Sie einen kryptografisch starken Zufallszahlengenerator wie System.Security.Cryptography.RandomNumberGenerator oder System.Security.Cryptography.RNGCryptoServiceProvider.
Wann sollten Warnungen unterdrückt werden?
Es ist sicher, Warnungen aus dieser Regel zu unterdrücken, wenn Sie sicher sind, dass die schwachen Pseudozufallszahlen nicht auf sicherheitsrelevante Weise verwendet werden.
Unterdrücken einer Warnung
Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.
#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394
Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad in der Konfigurationsdatei auf none fest.
[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none
Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.
Pseudocodebeispiele
Verletzung
using System;
class ExampleClass
{
public void ExampleMethod(Random random)
{
var sensitiveVariable = random.Next();
}
}
Lösung
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(int toExclusive)
{
var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
}
}
