CA5381: Kontrollera att certifikat inte läggs till i rotarkivet

Artikel
02/15/2024

Property	Värde
Regel-ID	CA5381
Title	Kontrollera att certifikat inte läggs till i rotarkivet
Kategori	Säkerhet
Korrigeringen är icke-bakåtkompatibel	Icke-icke-bryta
Aktiverad som standard i .NET 9	Nej

Orsak

Om du lägger till certifikat i operativsystemets betrodda rotcertifikat ökar risken för att legitimera en ej betrodd certifikatutfärdare.

Som standard analyserar den här regeln hela kodbasen, men detta kan konfigureras.

Regelbeskrivning

Den här regeln identifierar kod som potentiellt lägger till ett certifikat i certifikatarkivet Betrodda rotcertifikatutfärdare. Som standard konfigureras certifikatarkivet betrodda rotcertifikatutfärdare med en uppsättning offentliga certifikatutfärdare som uppfyller kraven i Microsoft Root Certificate Program. Eftersom alla betrodda rotcertifikatutfärdare kan utfärda certifikat för alla domäner kan en angripare välja en svag eller tvingad certifikatutfärdare som du installerar själv för att rikta in dig på en attack – och en enda sårbar, skadlig eller tvingad certifikatutfärdare undergräver säkerheten för hela systemet.

Så här åtgärdar du överträdelser

Installera inte certifikat i certifikatarkivet betrodda rotcertifikatutfärdare.

När du ska ignorera varningar

Vi rekommenderar inte att du utelämnar den här regeln.

Konfigurera kod för analys

Använd följande alternativ för att konfigurera vilka delar av kodbasen som regeln ska köras på.

Exkludera specifika symboler
Exkludera specifika typer och deras härledda typer

Du kan konfigurera dessa alternativ för bara den här regeln, för alla regler som den gäller för eller för alla regler i den här kategorin (säkerhet) som den gäller för. Mer information finns i Konfigurationsalternativ för kodkvalitetsregel.

Exkludera specifika symboler

Du kan exkludera specifika symboler, till exempel typer och metoder, från analys. Om du till exempel vill ange att regeln inte ska köras på någon kod inom typer med namnet MyTypelägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):

Endast symbolnamn (innehåller alla symboler med namnet, oavsett vilken typ eller namnrymd som innehåller).
Fullständigt kvalificerade namn i symbolens dokumentations-ID-format. Varje symbolnamn kräver ett symboltypprefix, till exempel M: för metoder, T: för typer och N: för namnområden.
.ctor för konstruktorer och .cctor statiska konstruktorer.

Exempel:

Alternativvärde	Sammanfattning
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType`	Matchar alla symboler med namnet `MyType`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1\|MyType2`	Matchar alla symboler med namnet antingen `MyType1` eller `MyType2`.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)`	Matchar en specifik metod `MyMethod` med den angivna fullständigt kvalificerade signaturen.
`dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)\|M:NS2.MyType2.MyMethod2(ParamType)`	Matchar specifika metoder `MyMethod1` och `MyMethod2` med respektive fullständigt kvalificerade signaturer.

Exkludera specifika typer och deras härledda typer

Du kan exkludera specifika typer och deras härledda typer från analys. Om du till exempel vill ange att regeln inte ska köras på några metoder inom typer som heter MyType och deras härledda typer lägger du till följande nyckel/värde-par i en .editorconfig-fil i projektet:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Tillåtna symbolnamnformat i alternativvärdet (avgränsade med |):

Skriv endast namn (innehåller alla typer med namnet, oavsett vilken typ eller namnrymd som innehåller).
Fullständigt kvalificerade namn i symbolens dokumentations-ID-format, med ett valfritt T: prefix.

Exempel:

Alternativvärde	Sammanfattning
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType`	Matchar alla typer med namnet `MyType` och alla deras härledda typer.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1\|MyType2`	Matchar alla typer med namnet antingen `MyType1` eller `MyType2` och alla deras härledda typer.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType`	Matchar en specifik typ `MyType` med ett angivet fullständigt kvalificerat namn och alla dess härledda typer.
`dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1\|M:NS2.MyType2`	Matchar specifika typer `MyType1` och `MyType2` med respektive fullständigt kvalificerade namn och alla deras härledda typer.

Exempel på pseudokod

Kränkning

Följande pseudokodexempel illustrerar det mönster som identifierats av den här regeln.

using System;
using System.Security.Cryptography.X509Certificates;

class TestClass
{
    public void TestMethod()
    {
        var storeName = StoreName.Root;
        Random r = new Random();

        if (r.Next(6) == 4)
        {
            storeName = StoreName.My;
        }

        var x509Store = new X509Store(storeName);
        x509Store.Add(new X509Certificate2());
    }
}

Lösning

using System.Security.Cryptography.X509Certificates;

class TestClass
{
    public void TestMethod()
    {
        var storeName = StoreName.My;
        var x509Store = new X509Store(storeName);
        x509Store.Add(new X509Certificate2());
    }
}

Dela via