CA5381: Controleren of certificaten niet worden toegevoegd aan het basisarchief
Eigenschappen | Weergegeven als |
---|---|
Regel-id | CA5381 |
Titel | Controleren of certificaten niet worden toegevoegd aan het basisarchief |
Categorie | Beveiliging |
Oplossing is brekend of niet-brekend | Niet-brekend |
Standaard ingeschakeld in .NET 9 | Nee |
Oorzaak
Het toevoegen van certificaten aan de vertrouwde basiscertificaten van het besturingssysteem verhoogt het risico dat niet-vertrouwde certificeringsinstantie wordt gelegitimeerd.
Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.
Beschrijving van regel
Met deze regel wordt code gedetecteerd die mogelijk een certificaat toevoegt aan het certificaatarchief van vertrouwde basiscertificeringsinstanties. Het certificaatarchief van vertrouwde basiscertificeringsinstanties is standaard geconfigureerd met een set openbare certificeringsinstanties (CA's) die voldoet aan de vereisten van het Microsoft Root Certificate Program. Aangezien alle vertrouwde basis-CA's certificaten voor elk domein kunnen uitgeven, kan een aanvaller een zwakke of coercible CA kiezen die u zelf installeert om zich te richten op een aanval, en een enkele kwetsbare, schadelijke of dwang-CA de beveiliging van het hele systeem ondermijnen.
Schendingen oplossen
Installeer geen certificaten in het certificaatarchief van vertrouwde basiscertificeringsinstanties.
Wanneer waarschuwingen onderdrukken
Het wordt afgeraden deze regel te onderdrukken.
Code configureren om te analyseren
Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.
U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.
Specifieke symbolen uitsluiten
U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyType
typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |
):
- Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals
M:
voor methoden,T:
voor typen enN:
voor naamruimten. .ctor
voor constructors en.cctor
voor statische constructors.
Voorbeelden:
Optiewaarde | Samenvatting |
---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Komt overeen met alle symbolen met de naam MyType . |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Komt overeen met alle symbolen met de naam of MyType1 MyType2 . |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen. |
Specifieke typen en hun afgeleide typen uitsluiten
U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType
typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |
):
- Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel
T:
voorvoegsel.
Voorbeelden:
Optiewaarde | Samenvatting |
---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Komt overeen met alle typen met de naam MyType en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Komt overeen met specifieke typen MyType1 en MyType2 met de respectieve volledig gekwalificeerde namen en alle afgeleide typen. |
Voorbeelden van pseudocode
Schending
Het volgende pseudocodevoorbeeld illustreert het patroon dat door deze regel is gedetecteerd.
using System;
using System.Security.Cryptography.X509Certificates;
class TestClass
{
public void TestMethod()
{
var storeName = StoreName.Root;
Random r = new Random();
if (r.Next(6) == 4)
{
storeName = StoreName.My;
}
var x509Store = new X509Store(storeName);
x509Store.Add(new X509Certificate2());
}
}
Oplossing
using System.Security.Cryptography.X509Certificates;
class TestClass
{
public void TestMethod()
{
var storeName = StoreName.My;
var x509Store = new X509Store(storeName);
x509Store.Add(new X509Certificate2());
}
}