CA5403:不要硬式編碼憑證

發行項
11/14/2023

屬性	值
規則識別碼	CA5403
標題	不要硬式編碼憑證
類別	安全性
修正程式是中斷或非中斷	不中斷
預設在 .NET 8 中啟用	No

原因

或 X509Certificate2 建data構函式的 X509Certificate 或 rawData 參數是由下列其中一項硬式編碼：

位元組陣列。
Char 陣列。
System.Convert.FromBase64String(String).
的所有多載 System.Text.Encoding.GetBytes。

檔案描述

可以輕鬆地探索硬式編碼憑證的私鑰。即使使用編譯的二進位檔，惡意使用者也很容易擷取硬式編碼憑證的私鑰。一旦私鑰遭到入侵，攻擊者就可以模擬該憑證，而該憑證所保護的任何資源或作業都將可供攻擊者使用。

如何修正違規

請考慮重新設計應用程式以使用安全密鑰管理系統，例如 Azure 金鑰保存庫。
將認證和憑證保留在與原始程式碼分開的安全位置。

隱藏警告的時機

如果硬式編碼的數據未包含憑證的私鑰，則隱藏此規則的警告是安全的。例如，數據來自檔案 .cer 。硬式編碼的公開憑證資訊在憑證到期或遭到撤銷時，仍可能會造成輪替憑證的挑戰。

隱藏警告

如果您只想要隱藏單一違規，請將預處理器指示詞新增至原始程式檔以停用，然後重新啟用規則。

#pragma warning disable CA5403
// The code that's violating the rule is on this line.
#pragma warning restore CA5403

若要停用檔案、資料夾或項目的規則，請在組態檔中將其嚴重性設定為。none

[*.{cs,vb}]
dotnet_diagnostic.CA5403.severity = none

如需詳細資訊，請參閱如何隱藏程式代碼分析警告。

虛擬程式代碼範例

硬式編碼位元組陣列

using System.IO;
using System.Security.Cryptography.X509Certificates;

class ExampleClass
{
    public void ExampleMethod(string path)
    {
        byte[] bytes = new byte[] {1, 2, 3};
        File.WriteAllBytes(path, bytes);
        new X509Certificate2(path);
    }
}

以 char 陣列硬式編碼

using System.IO;
using System.Security.Cryptography.X509Certificates;
using System.Text;

class ExampleClass
{
    public void ExampleMethod(byte[] bytes, string path)
    {
        char[] chars = new char[] { '1', '2', '3' };
        Encoding.ASCII.GetBytes(chars, 0, 3, bytes, 0);
        File.WriteAllBytes(path, bytes);
        new X509Certificate2(path);
    }
}

由 FromBase64String 硬式編碼

using System;
using System.IO;
using System.Security.Cryptography.X509Certificates;

class ExampleClass
{
    public void ExampleMethod(string path)
    {
        byte[] bytes = Convert.FromBase64String("AAAAAaazaoensuth");
        File.WriteAllBytes(path, bytes);
        new X509Certificate2(path);
    }
}

由 GetBytes 硬式編碼

using System;
using System.IO;
using System.Security.Cryptography.X509Certificates;
using System.Text;

class ExampleClass
{
    public void ExampleMethod(string path)
    {
        byte[] bytes = Encoding.ASCII.GetBytes("AAAAAaazaoensuth");
        File.WriteAllBytes(path, bytes);
        new X509Certificate2(path);
    }
}

解決方案

using System.IO;
using System.Security.Cryptography.X509Certificates;

class ExampleClass
{
    public void ExampleMethod(string path)
    {
        new X509Certificate2("Certificate.cer");
    }
}