Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
| Eigenschap | Waarde |
|---|---|
| Regel-id | CA5361 |
| Titel | SChannel-gebruik van sterke crypto niet uitschakelen |
| Categorie | Beveiliging |
| Fix kan brekend of niet-brekend zijn | Niet-brekend |
| Standaard ingeschakeld in .NET 10 | Nee |
| Toepasselijke talen | C# en Visual Basic |
Oorzaak
Een AppContext.SetSwitch-methode-aanroep stelt Switch.System.Net.DontEnableSchUseStrongCrypto in op true.
Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.
Beschrijving van regel
Instellen van Switch.System.Net.DontEnableSchUseStrongCrypto op true verzwakt de cryptografie die wordt gebruikt in uitgaande Transport Layer Security (TLS)-verbindingen. Zwakkere cryptografie kan de vertrouwelijkheid van de communicatie tussen uw toepassing en de server in gevaar komen, waardoor aanvallers gevoelige gegevens gemakkelijker kunnen afluisteren. Zie best practices voor Transport Layer Security (TLS) met .NET Framework voor meer informatie.
Hoe schendingen op te lossen
- Als uw toepassing is gericht op .NET Framework v4.6 of hoger, kunt u de AppContext.SetSwitch methode-aanroep verwijderen of de waarde van de switch instellen op
false. - Als uw toepassing is gericht op .NET Framework ouder dan v4.6 en wordt uitgevoerd op .NET Framework v4.6 of hoger, stelt u de waarde van de switch in op
false. - Anders raadpleeg best practices voor Transport Layer Security (TLS) met .NET Framework voor mitigaties.
Wanneer waarschuwingen onderdrukken
U kunt deze waarschuwing onderdrukken als u verbinding wilt maken met een verouderde service die niet kan worden bijgewerkt voor het gebruik van beveiligde TLS-configuraties.
Een waarschuwing onderdrukken
Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.
#pragma warning disable CA5361
// The code that's violating the rule is on this line.
#pragma warning restore CA5361
Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.
[*.{cs,vb}]
dotnet_diagnostic.CA5361.severity = none
Zie voor meer informatie Hoe codeanalysewaarschuwingen te onderdrukken.
Code configureren om te analyseren
Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.
U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop ze van toepassing zijn, of voor alle regels in deze categorie (Security) waarop ze van toepassing zijn. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.
Specifieke symbolen uitsluiten
U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse door de optie excluded_symbol_names in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Notitie
Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.
Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):
- Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de documentatie-ID-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals
M:voor methoden,T:voor typen enN:voor naamruimten. -
.ctorvoor constructors en.cctorvoor statische constructors.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Komt overeen met alle symbolen met de naam MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Komt overeen met alle symbolen met de naam MyType1 of MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen. |
Specifieke typen en hun afgeleide typen uitsluiten
U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse door de optie excluded_type_names_with_derived_types in te stellen. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Notitie
Vervang het XXXX deel van CAXXXX door de id van de toepasselijke regel.
Toegestane formaten van symboolnamen in de optiewaarde (gescheiden door |):
- Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
- Volledig gekwalificeerde namen in de indeling van de documentatie-ID van het symbool
, met een optioneel voorvoegsel.
Voorbeelden:
| Optiewaarde | Samenvatting |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Komt overeen met alle typen met de naam MyType en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Komt overeen met specifieke typen MyType1 en MyType2 met hun respectieve volledig gekwalificeerde namen, en alle afgeleide typen. |
Voorbeelden van pseudocode
Schending
using System;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5361 violation
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", true);
}
}
Imports System
Public Class ExampleClass
Public Sub ExampleMethod()
' CA5361 violation
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", true)
End Sub
End Class
Oplossing
using System;
public class ExampleClass
{
public void ExampleMethod()
{
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", false);
}
}
Imports System
Public Class ExampleClass
Public Sub ExampleMethod()
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", false)
End Sub
End Class
Met ons samenwerken op GitHub
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
