なぜVeracodeは次のFIPS準拠のC#にフラグを付けますか?CWE-326 on FIPS準拠AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
なぜVeracodeは次のFIPS準拠のC#にフラグを付けますか?CWE-326 on FIPS準拠AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
こんにちは:これは最近スキャンした場合、現在のVeraCodeが256のキーサイズのAESを使用するには可能性が高いだろうではないフラグCWE 326をスキャンし、あなたは私たちが取ることができるのVeraCodeサポートにお問い合わせください可能性がありなぜこれにフラグが立てられたのかを詳しく調べる
これが古いスキャンの結果だった場合は、アプリケーションを再スキャンして問題が解決しているかどうかを確認してください。
にプログラムされていたためです。それはなぜでしょうか? –
セキュリティ上のリスクを軽減するには、修正を行うために十分に理解する必要があります。 AesCngがCWE-326の違反を提示する理由を理解する必要があります。それは、AES256がもはや十分に安全であると考えられなくなったためか、FIPS設定の1つですか、あるいは設定がありませんか? – Hintz