CA5394: No usar aleatoriedad no segura
| Propiedad | Value |
|---|---|
| Identificador de la regla | CA5394 |
| Título | No usar aleatoriedad no segura |
| Categoría | Seguridad |
| La corrección interrumpe o no interrumpe | Poco problemático |
| Habilitado de forma predeterminada en .NET 9 | No |
Causa
Se invoca uno de los métodos System.Random.
Descripción de la regla
El uso de un generador de números pseudoaleatorios no seguro criptográficamente puede permitir que un atacante prediga qué valor de seguridad se generará.
Cómo corregir infracciones
Si necesita un valor no predecible para la seguridad, use un generador de números aleatorios seguro criptográficamente, como System.Security.Cryptography.RandomNumberGenerator o System.Security.Cryptography.RNGCryptoServiceProvider.
Cuándo suprimir las advertencias
Se pueden suprimir las advertencias de esta regla si está seguro de que los números pseudoaleatorios no seguros no se usan de forma confidencial.
Supresión de una advertencia
Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.
#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394
Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.
[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none
Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.
Ejemplos de pseudocódigo
Infracción
using System;
class ExampleClass
{
public void ExampleMethod(Random random)
{
var sensitiveVariable = random.Next();
}
}
Solución
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(int toExclusive)
{
var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
}
}
