CA5358:请勿使用不安全的密码模式
| 属性 | 值 |
|---|---|
| 规则 ID | CA5358 |
| 标题 | 请勿使用不安全的密码模式 |
| 类别 | 安全性 |
| 修复是中断修复还是非中断修复 | 非中断 |
| 在 .NET 8 中默认启用 | 否 |
原因
使用下列未批准的不安全加密模式之一:
- System.Security.Cryptography.CipherMode.ECB
- System.Security.Cryptography.CipherMode.OFB
- System.Security.Cryptography.CipherMode.CFB
规则说明
这些模式容易受到攻击,并可能导致敏感信息泄露。 例如,使用 ECB 对纯文本块进行加密始终都会生成相同的密码文本,因此它可以轻松判断两个加密消息是否相同。 使用批准的模式可以避免这些不必要的风险。
如何解决冲突
何时禁止显示警告
在以下情况下,禁止显示此规则的警告是安全的:
- 加密专家已经查看并批准了密码模式的使用。
- 所引用的 CipherMode 未用于加密操作。
抑制警告
如果只想抑制单个冲突,请将预处理器指令添加到源文件以禁用该规则,然后重新启用该规则。
#pragma warning disable CA5358
// The code that's violating the rule is on this line.
#pragma warning restore CA5358
若要对文件、文件夹或项目禁用该规则,请在配置文件中将其严重性设置为 none。
[*.{cs,vb}]
dotnet_diagnostic.CA5358.severity = none
有关详细信息,请参阅如何禁止显示代码分析警告。
伪代码示例
向 Mode 属性分配 ECB
using System.Security.Cryptography;
class ExampleClass {
private static void ExampleMethod () {
RijndaelManaged rijn = new RijndaelManaged
{
Mode = CipherMode.ECB
};
}
}
使用值 ECB
using System;
using System.Security.Cryptography;
class ExampleClass
{
private static void ExampleMethod()
{
Console.WriteLine(CipherMode.ECB);
}
}
解决方案
using System.Security.Cryptography;
class ExampleClass {
private static void ExampleMethod () {
RijndaelManaged rijn = new RijndaelManaged
{
Mode = CipherMode.CBC
};
}
}
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈