0
我们正在使用Mongo DB java驱动程序3.4.1 jar。当我们做Veracode的测试中,我们发现:在ScramSha1Authenticator中使用强大的算法 - 按照Veracode?
ScramSha1Authenticator.java线215没有使用破损或危险的加密算法
有没有知道的分辨率/解决方法呢?
由于这是一个关键问题,我们必须在开始生产之前解决它。
A
回答
1
这是不容易改变的,因为它不仅仅是驱动程序:SCRAM-SHA-1是最新版本的MongoDB中的当前用户名密码认证协议,它使用SHA-1;驱动程序不能单方面决定使用SHA-256。
我不知道你是经过Veracode的测试如何承诺,但我可以看到这让你在使用MongoDB的安全进行,尽管Veracode的安全报告两个可能的选择:从MongoDB的
- 获取保证SCRAM-SHA-1机制不易受到众所周知的影响security problems with the SHA-1 algorithm
- 而不是使用此认证机制,而是使用不同的机制;也许x.509 Certificate Authentication或Kerberos Authentication
相关问题
- 1. 按照路径算法
- 2. Veracode拒绝加密算法 - 我应该使用哪一个?
- 3. 强大的在线算法半方差
- 4. VisualVM堆大小没有按照使用的大小
- 5. 增强算法
- 6. 强大的尝试抓取方法在WebDriver中使用?
- 7. 在d3中禁用强制布局算法中的力
- 8. 该算法的大O强大性是什么?
- 9. 使用强大的删除元数据
- 10. 强大的Windows计算器工具?
- 11. 如何在Jest中更新快照时强制使用'testPattern'?
- 12. 用强大的
- 13. Group按照正确的用法
- 14. 不使用算术运算或按位运算符的加法
- 15. 按照其总和顺序生成子集的算法
- 16. 按照字母顺序使用linq分组计算电影
- 17. C中移位运算符的真正强大用法是什么?
- 18. 快速2D照明算法?
- 19. 的Python /大熊猫 - 按照标准
- 20. 如何计算强大的数字
- 21. 无法使粒子按照spriteKit
- 22. 强大的电子邮件验证算法
- 23. 安全地重置密码的强大算法
- 24. 在MVC中使用.html()显示对话框给出了Veracode中的XSS错误
- 25. Veracode的扫描为Java
- 26. 按照标准计算行数
- 27. 通过使用最大流量算法
- 28. 查找最大使用DFS算法
- 29. 按照
- 30. 按照说明
是否Veracode推荐的东西?也许把它改成sha256 – 2017-04-18 13:21:00
是的。但是,我们如何改变它。这是第三方代码。不是我们的。我们可能不得不向mongo DB提出相应的要求。 – Jbaur
是的,可能你必须这样做。或者你得到了代码并自己改变它(如果我没有错的话,它在github中)。或者检查Veracode是否可以缓解这个问题(解释它是第三方代码等) - 不知道如何处理这些问题。 – 2017-04-18 14:15:29