CA5390:请勿编码加密密钥
| 属性 | 值 |
|---|---|
| 规则 ID | CA5390 |
| 标题 | 请勿编码加密密钥 |
| 类别 | 安全性 |
| 修复是中断修复还是非中断修复 | 非中断 |
| 在 .NET 9 中默认启用 | 否 |
原因
System.Security.Cryptography.AesCcm 或 System.Security.Cryptography.AesGcm 构造函数的 key 参数、System.Security.Cryptography.SymmetricAlgorithm.Key 属性,或者 System.Security.Cryptography.SymmetricAlgorithm.CreateEncryptor 或 System.Security.Cryptography.SymmetricAlgorithm.CreateDecryptor 方法的 rgbKey 参数由以下其中一项硬编码:
- 字节数组。
- System.Convert.FromBase64String。
- System.Text.Encoding.GetBytes 的所有重载。
默认情况下,此规则会分析整个代码库,但这是可配置的。
规则说明
要成功使用对称算法,密钥必须只有发送方和接收方知道。 如果密钥是硬编码的,就容易被发现。 即使使用编译的二进制文件,恶意用户也容易将其提取出来。 私钥泄露后,密码文本可直接被解密并且不再受保护。
如何解决冲突
- 考虑重新设计应用程序,以使用安全的密钥管理系统,如 Azure Key Vault。
- 将凭据和密钥保留在安全位置,与源代码分开。
何时禁止显示警告
不禁止显示此规则发出的警告。
配置代码以进行分析
使用下面的选项来配置代码库的哪些部分要运行此规则。
可以仅为此规则、为适用的所有规则或为适用的此类别(安全性)中的所有规则配置这些选项。 有关详细信息,请参阅代码质量规则配置选项。
排除特定符号
可以从分析中排除特定符号,如类型和方法。 例如,若要指定规则不应针对名为 MyType 的类型中的任何代码运行,请将以下键值对添加到项目中的 .editorconfig 文件:
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
选项值中允许的符号名称格式(用 | 分隔):
- 仅符号名称(包括具有相应名称的所有符号,不考虑包含的类型或命名空间)。
- 完全限定的名称,使用符号的文档 ID 格式。 每个符号名称都需要带有一个符号类型前缀,例如表示方法的
M:、表示类型的T:,以及表示命名空间的N:。 .ctor表示构造函数,.cctor表示静态构造函数。
示例:
| 选项值 | 总结 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
匹配名为 MyType 的所有符号。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
匹配名为 MyType1 或 MyType2 的所有符号。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
匹配带有指定的完全限定签名的特定方法 MyMethod。 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
匹配带有各自的完全限定签名的特定方法 MyMethod1 和 MyMethod2。 |
排除特定类型及其派生类型
可以从分析中排除特定类型及其派生类型。 例如,若要指定规则不应针对名为 MyType 的类型及其派生类型中的任何代码运行,请将以下键值对添加到项目中的 .editorconfig 文件:
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
选项值中允许的符号名称格式(用 | 分隔):
- 仅类型名称(包括具有相应名称的所有类型,不考虑包含的类型或命名空间)。
- 完全限定的名称,使用符号的文档 ID 格式,前缀为
T:(可选)。
示例:
| 选项值 | 总结 |
|---|---|
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
匹配名为 MyType 的所有类型及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
匹配名为 MyType1 或 MyType2 的所有类型及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
匹配带有给定的完全限定名称的特定类型 MyType 及其所有派生类型。 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
匹配带有各自的完全限定名称的特定类型 MyType1 和 MyType2 及其所有派生类型。 |
伪代码示例
硬编码字节数组冲突
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] someOtherBytesForIV)
{
byte[] rgbKey = new byte[] {1, 2, 3};
SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
rijn.CreateEncryptor(rgbKey, someOtherBytesForIV);
}
}
硬编码 Convert.FromBase64String 冲突
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] someOtherBytesForIV)
{
byte[] key = Convert.FromBase64String("AAAAAaazaoensuth");
SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
rijn.CreateEncryptor(key, someOtherBytesForIV);
}
}
硬编码 Encoding.GetBytes 冲突
using System.Text;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(byte[] someOtherBytesForIV)
{
byte[] key = Encoding.ASCII.GetBytes("AAAAAaazaoensuth");
SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
rijn.CreateEncryptor(key, someOtherBytesForIV);
}
}
解决方案
using System.Text;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(char[] chars, byte[] someOtherBytesForIV)
{
byte[] key = Encoding.ASCII.GetBytes(chars);
SymmetricAlgorithm rijn = SymmetricAlgorithm.Create();
rijn.CreateEncryptor(key, someOtherBytesForIV);
}
}
