| 속성 | 값 |
|---|---|
| 규칙 ID | CA5394 |
| 제목 | 안전하지 않은 임의성을 사용하지 마세요. |
| 범주 | 보안 |
| 수정 사항이 호환성을 깨뜨리는지 여부 또는 무중단인지 여부 | 주요 변경 아님 |
| .NET 10에서 기본적으로 사용하도록 설정 | 아니요 |
| 적용 가능한 언어 | C# 및 Visual Basic |
원인
System.Random의 메서드 중 하나가 호출됩니다.
규칙 설명
암호화가 취약한 의사 난수 생성기를 사용하면 공격자가 생성할 보안에 민감한 값을 예측할 수 있습니다.
위반 문제를 해결하는 방법
보안을 위해 예측할 수 없는 값이 필요한 경우 System.Security.Cryptography.RandomNumberGenerator 또는 System.Security.Cryptography.RNGCryptoServiceProvider와 같이 암호화가 강한 난수 생성기를 사용합니다.
경고를 표시하지 않는 경우
취약한 의사 난수가 보안에 민감한 방식으로 사용되지 않는다고 확신할 경우, 이 규칙의 경고를 무시해도 안전합니다.
경고 표시 안 함
단일 위반을 억제하려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 비활성화한 후 다시 활성화하십시오.
#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않으려면 구성 파일에서 none의 심각도를 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
의사 코드 예제
위반
using System;
class ExampleClass
{
public void ExampleMethod(Random random)
{
var sensitiveVariable = random.Next();
}
}
해결 방법
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(int toExclusive)
{
var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
}
}
GitHub에서 Microsoft와 공동 작업
이 콘텐츠의 원본은 GitHub에서 찾을 수 있으며, 여기서 문제와 끌어오기 요청을 만들고 검토할 수도 있습니다. 자세한 내용은 참여자 가이드를 참조하세요.
.NET