为什么Veracode会标记以下符合FIPS标准的C#?符合FIPS标准的CWE-326 AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
为什么Veracode会标记以下符合FIPS标准的C#?符合FIPS标准的CWE-326 AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
因为它被编程为。为什么不呢? –
为了减轻安全风险,必须对其进行充分理解以进行修正。我需要理解AesCng为什么会违反CWE-326。是因为AES256不再被认为足够安全,是FIPS设置之一还是缺少设置? – Hintz