0
我们正在使用Mongo DB java驱动程序3.4.1 jar。当我们做Veracode的测试中,我们发现:在ScramSha1Authenticator中使用强大的算法 - 按照Veracode?
ScramSha1Authenticator.java线215没有使用破损或危险的加密算法
有没有知道的分辨率/解决方法呢?
由于这是一个关键问题,我们必须在开始生产之前解决它。
我们正在使用Mongo DB java驱动程序3.4.1 jar。当我们做Veracode的测试中,我们发现:在ScramSha1Authenticator中使用强大的算法 - 按照Veracode?
ScramSha1Authenticator.java线215没有使用破损或危险的加密算法
有没有知道的分辨率/解决方法呢?
由于这是一个关键问题,我们必须在开始生产之前解决它。
这是不容易改变的,因为它不仅仅是驱动程序:SCRAM-SHA-1是最新版本的MongoDB中的当前用户名密码认证协议,它使用SHA-1;驱动程序不能单方面决定使用SHA-256。
我不知道你是经过Veracode的测试如何承诺,但我可以看到这让你在使用MongoDB的安全进行,尽管Veracode的安全报告两个可能的选择:从MongoDB的
是否Veracode推荐的东西?也许把它改成sha256 – 2017-04-18 13:21:00
是的。但是,我们如何改变它。这是第三方代码。不是我们的。我们可能不得不向mongo DB提出相应的要求。 – Jbaur
是的,可能你必须这样做。或者你得到了代码并自己改变它(如果我没有错的话,它在github中)。或者检查Veracode是否可以缓解这个问题(解释它是第三方代码等) - 不知道如何处理这些问题。 – 2017-04-18 14:15:29