.value（）メソッドの乱数ジェネレータはどこにありますか？ HP Fortifyはスキャンを実行している間

Question

、私は以下の不安定なランダム性の警告を取得しています：

The random number generator implemented by value() cannot withstand a cryptographic attack. 

問題の行がXMLから値を抽出するためにvalue()方法を使用して、T-SQLストアドプロシージャです。私の知る限りdocumentationから伝えることができるよう

SELECT t.c.value('@RequestId[1]', 'BIGINT') AS RequestId 

それが実装内深くでない限り、これはランダム値発生器を使用してしなければならないという理由はありません。誰がこれが使用されているか、これが本当のセキュリティ上の問題であるのか、誤ったポジティブなものであるのかを知っていますか？

Answer 1

私はこの同じ問題をFortifyで数回見ましたが、私はそれが偽陽性であると信じています。 Fortifyは何とかt-sqlのvalue（）がランダムな値を返すと思っていますが、私はこれについての証拠は見当たりませんでした。

私が間違っている（私はそうは思わない）場合は、アプリケーションがそのステートメントのランダム性を確保する必要があるかどうかを尋ねることができます。 Fortifyはコンテキストを理解しないツールなので、安全なランダム性が必要かどうかを理解することなく、安全でないランダム性が見えるときにフラグを立てるだけです。アプリケーションに関する十分なコンテキストとここで何が起きているのかを知っている熟練したコードレビュー担当者は、ここで安全なランダム性が必要かどうかを言い表すことができます（疑わしいランダム性があれば）。

Fortifyは他のセキュリティツールと同じように完璧ではないことに注意してください。私たちが方程式から文脈を取り除いたとしても、これは私の心の中で本当の問題ではないツールによって引き起こされた問題の唯一の例ではありません。