CA5361: Nezakazujte použití SChannel silného kryptografie
| Vlastnost | Hodnota |
|---|---|
| ID pravidla | CA5361 |
| Název | Nezakazovat zprostředkovateli SChannel použití silného šifrování |
| Kategorie | Zabezpečení |
| Oprava způsobující chybu nebo chybu způsobující chybu | Nenarušující |
| Povoleno ve výchozím nastavení v .NET 9 | No |
Příčina
Volání AppContext.SetSwitch metody se nastaví Switch.System.Net.DontEnableSchUseStrongCrypto na true.
Ve výchozím nastavení toto pravidlo analyzuje celý základ kódu, ale dá se nakonfigurovat.
Popis pravidla
Nastavení Switch.System.Net.DontEnableSchUseStrongCrypto pro true oslabování kryptografie používané v odchozích připojeních TLS (Transport Layer Security). Slabší kryptografie může ohrozit důvěrnost komunikace mezi vaší aplikací a serverem, což útočníkům usnadňuje odposlouchvání citlivých dat. Další informace naleznete v tématu Osvědčené postupy protokolu TLS (Transport Layer Security) s rozhraním .NET Framework.
Jak opravit porušení
- Pokud vaše aplikace cílí na rozhraní .NET Framework v4.6 nebo novější, můžete buď odebrat AppContext.SetSwitch volání metody, nebo nastavit hodnotu přepínače na
falsehodnotu . - Pokud vaše aplikace cílí na rozhraní .NET Framework starší než v4.6 a běží na rozhraní .NET Framework v4.6 nebo novější, nastavte hodnotu přepínače na
falsehodnotu . - V opačném případě si projděte osvědčené postupy protokolu TLS (Transport Layer Security) s rozhraním .NET Framework pro zmírnění rizik.
Kdy potlačit upozornění
Toto upozornění můžete potlačit, pokud se potřebujete připojit ke starší službě, která se nedá upgradovat, aby používala zabezpečené konfigurace PROTOKOLU TLS.
Potlačení upozornění
Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.
#pragma warning disable CA5361
// The code that's violating the rule is on this line.
#pragma warning restore CA5361
Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.
[*.{cs,vb}]
dotnet_diagnostic.CA5361.severity = none
Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.
Konfigurace kódu pro analýzu
Pomocí následujících možností můžete nakonfigurovat, pro které části základu kódu se má toto pravidlo spouštět.
Tyto možnosti můžete nakonfigurovat jenom pro toto pravidlo, pro všechna pravidla, která platí, nebo pro všechna pravidla v této kategorii (zabezpečení), na která platí. Další informace naleznete v tématu Možnosti konfigurace pravidla kvality kódu.
Vyloučení konkrétních symbolů
Z analýzy můžete vyloučit konkrétní symboly, jako jsou typy a metody. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádného kódu v rámci pojmenovaných MyTypetypů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|
- Pouze název symbolu (zahrnuje všechny symboly s názvem bez ohledu na typ nebo obor názvů).
- Plně kvalifikované názvy ve formátu ID dokumentace symbolu. Každý název symbolu vyžaduje předponu typu symbolu, například
M:pro metody,T:typy aN:obory názvů. .ctorpro konstruktory a.cctorstatické konstruktory.
Příklady:
| Hodnota možnosti | Shrnutí |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
Odpovídá všem symbolům s názvem MyType. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
Porovná všechny symboly pojmenované buď MyType1 nebo MyType2. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
Odpovídá konkrétní metodě MyMethod se zadaným plně kvalifikovaným podpisem. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
Odpovídá konkrétním metodám MyMethod1 a MyMethod2 příslušným plně kvalifikovaným podpisům. |
Vyloučení konkrétních typů a jejich odvozených typů
Z analýzy můžete vyloučit konkrétní typy a jejich odvozené typy. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádné metody v rámci pojmenovaných MyType typů a jejich odvozených typů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|
- Pouze název typu (zahrnuje všechny typy s názvem bez ohledu na typ nebo obor názvů).
- Plně kvalifikované názvy ve formátu ID dokumentace symbolu s volitelnou
T:předponou.
Příklady:
| Hodnota možnosti | Shrnutí |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
Odpovídá všem pojmenovaným MyType typům a všem jejich odvozeným typům. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
Odpovídá všem typům pojmenovaným buď MyType1 nebo MyType2 a všem jejich odvozeným typům. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
Odpovídá určitému typu MyType s daným plně kvalifikovaným názvem a všemi jeho odvozenými typy. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
Odpovídá konkrétním typům MyType1 a MyType2 příslušným plně kvalifikovaným názvům a všem jejich odvozeným typům. |
Příklady pseudokódu
Porušení
using System;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5361 violation
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", true);
}
}
Imports System
Public Class ExampleClass
Public Sub ExampleMethod()
' CA5361 violation
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", true)
End Sub
End Class
Řešení
using System;
public class ExampleClass
{
public void ExampleMethod()
{
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", false);
}
}
Imports System
Public Class ExampleClass
Public Sub ExampleMethod()
AppContext.SetSwitch("Switch.System.Net.DontEnableSchUseStrongCrypto", false)
End Sub
End Class
