Partager via


CA5394 : Ne pas utiliser de sélection aléatoire non sécurisée

Propriété Value
Identificateur de la règle CA5394
Titre Ne pas utiliser de sélection aléatoire non sécurisée
Catégorie Sécurité
Le correctif est cassant ou non cassant Sans rupture
Activée par défaut dans .NET 9 Non

Cause

L’une des méthodes de System.Random est appelée.

Description de la règle

L’utilisation d’un générateur de nombres pseudo-aléatoires faible sur le plan du chiffrement peut permettre à un attaquant de prédire quelle valeur sensible à la sécurité sera générée.

Comment corriger les violations

Si vous avez besoin d’une valeur imprévisible à des fins de sécurité, utilisez un générateur de nombres aléatoires fort sur le plan du chiffrement, par exemple System.Security.Cryptography.RandomNumberGenerator ou System.Security.Cryptography.RNGCryptoServiceProvider.

Quand supprimer les avertissements

Vous pouvez sans risque supprimer les avertissements de cette règle si vous avez la certitude que les nombres pseudo-aléatoires faibles ne sont pas utilisés d’une manière sensible du point de vue de la sécurité.

Supprimer un avertissement

Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.

#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394

Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.

[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none

Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.

Exemples de pseudo-code

Violation

using System;

class ExampleClass
{
    public void ExampleMethod(Random random)
    {
        var sensitiveVariable = random.Next();
    }
}

Solution

using System;
using System.Security.Cryptography;

class ExampleClass
{
    public void ExampleMethod(int toExclusive)
    {
        var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
    }
}