6

セキュリティの脆弱性について checkmarx を使用してコードをスキャンすると、変数名を指すプライバシー違反の問題が報告されました。

public const string Authentication  = "authentication";

この変数を使用して、すべての認証関連の詳細を格納するこの名前 (「認証」) でキャッシュ内に領域を作成しています。

プライバシー違反の問題を修正するために、この変数名をあまり意味のない名前に変更することは正しいですか? これはどのようにセキュリティ上の脅威になりますか?

4

2 に答える 2

10

Checkmarx は、'password'、'credentials'、'Authentication' などの名前の変数を探しています。変数に値を割り当てていることがわかると、機密情報をコードに格納している可能性があることを警告します (ハードコーディング)。 )。あなたが言及した場合、これは機密情報ではないため、誤検知のように見えます。

于 2016-01-19T11:33:39.060 に答える