| プロパティ | 値 |
|---|---|
| ルール ID | CA5394 |
| Title | 安全でないランダム度を使用しません |
| [カテゴリ] | Security |
| 修正が破壊的変更か非破壊的変更であるか | なし |
| .NET 10 で既定で有効 | いいえ |
| 該当する言語 | C# と Visual Basic |
原因
System.Random のメソッドのいずれかが呼び出されています。
規則の説明
暗号強度の低い擬似乱数ジェネレーターを使用すると、セキュリティ上注意が必要などのような値が生成されるかを攻撃者が予測できる可能性があります。
違反の修正方法
セキュリティのために予測不可能な値が必要な場合は、System.Security.Cryptography.RandomNumberGenerator や System.Security.Cryptography.RNGCryptoServiceProvider のような暗号強度の高い乱数ジェネレーターを使用します。
どのようなときに警告を抑制するか
弱い擬似乱数がセキュリティに関わる方法で使用されていないことを確信している場合は、このルールによる警告を抑制しても安全です。
警告を抑制する
単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。
#pragma warning disable CA5394
// The code that's violating the rule is on this line.
#pragma warning restore CA5394
ファイル、フォルダー、またはプロジェクトの規則を無効にするには、その重要度を none に設定し、設定ファイル で適用します。
[*.{cs,vb}]
dotnet_diagnostic.CA5394.severity = none
詳細については、「コード分析の警告を抑制する方法」を参照してください。
疑似コードの例
違反
using System;
class ExampleClass
{
public void ExampleMethod(Random random)
{
var sensitiveVariable = random.Next();
}
}
解決策
using System;
using System.Security.Cryptography;
class ExampleClass
{
public void ExampleMethod(int toExclusive)
{
var sensitiveVariable = RandomNumberGenerator.GetInt32(toExclusive);
}
}
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET