CA5394: Keine unsichere Zufälligkeitsstufe verwenden

  • Artikel
Eigenschaft Wert
Regel-ID CA5394
Titel Keine unsichere Zufälligkeitsstufe verwenden
Kategorie Security
Fix führt oder führt nicht zur Unterbrechung Nicht unterbrechend
Standardmäßig in .NET 8 aktiviert Nein

Ursache

Eine der Methoden von System.Random wird aufgerufen.

Regelbeschreibung

Wenn Sie einen kryptografisch schwachen Generator für Pseudozufallszahlen verwenden, kann ein Angreifer möglicherweise vorhersagen, welcher sicherheitsrelevante Wert generiert wird.

Behandeln von Verstößen

Wenn Sie für die Sicherheit einen unvorhersehbaren Wert benötigen, verwenden Sie einen kryptografisch starken Zufallszahlengenerator wie System.Security.Cryptography.RandomNumberGenerator oder System.Security.Cryptography.RNGCryptoServiceProvider.

Wann sollten Warnungen unterdrückt werden?

Es ist sicher, Warnungen aus dieser Regel zu unterdrücken, wenn Sie sicher sind, dass die schwachen Pseudozufallszahlen nicht auf sicherheitsrelevante Weise verwendet werden.

Unterdrücken einer Warnung

Um nur eine einzelne Verletzung zu unterdrücken, fügen Sie der Quelldatei Präprozessoranweisungen hinzu, um die Regel zu deaktivieren und dann wieder zu aktivieren.

#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394

Um die Regel für eine Datei, einen Ordner oder ein Projekt zu deaktivieren, legen Sie den Schweregrad in der Konfigurationsdatei auf none fest.

[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none

Weitere Informationen finden Sie unter Vorgehensweise: Unterdrücken von Codeanalyse-Warnungen.

Pseudocodebeispiele

Verletzung

using System;

class ExampleClass
{
    public void ExampleMethod(Random random)
    {
        var sensitiveVariable = random.Next();
    }
}

Lösung

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(int toExclusive)
    {
        var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
    }
}