Quartz.Net wird für die Verwendung von System.Random anstelle eines sicheren Zufallszahlengenerators gekennzeichnet.
System.Random kann durch System.Security.Cryptography.RNGCryptoServiceProvider ersetzt werden
http://cwe.mitre.org/data/definitions/331.html
Version: 6.2.1
Keine Sicherheitsprobleme.
Sicherheitsprobleme gemeldet.
Führen Sie einen Sicherheitsscanner aus, der System.Random nicht mag.
Ich habe eine Pull-Anfrage erstellt, um dieses Problem zu beheben. https://github.com/quartznet/quartznet/pull/552
Danke, dass du das gemeldet hast. Darf ich fragen was das anzeigt? Wie Sie vielleicht wissen, verwendet Quartz.NET keine Zufallswerte für alles, was tatsächlich starke Entropiegarantien erfordern würde. Zufällige Werte werden nur für Trigger-IDs und Ruhezeiten verwendet.
Der Scanner kümmert sich darum, dass Quartz.Net System.Random vollkommen in Ordnung verwendet, er kennzeichnet nur die Verwendung einer verbotenen API. Wenn Sie nach "statischer Sicherheitsscanner" suchen, sollte dieser auf der ersten Ergebnisseite stehen.
Danke für das Antworten.
PR fusioniert, danke.
Hilfreichster Kommentar
Ich habe eine Pull-Anfrage erstellt, um dieses Problem zu beheben. https://github.com/quartznet/quartznet/pull/552