爲什麼Veracode會標記以下符合FIPS標準的C#?符合FIPS標準的CWE-326 AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
爲什麼Veracode會標記以下符合FIPS標準的C#?符合FIPS標準的CWE-326 AES256
var cipher = new AesCng()
{
BlockSize = 128,
KeySize = 256,
Mode = CipherMode.CBC,
Padding = PaddingMode.PKCS7
};
因爲它被編程爲。爲什麼不呢? –
爲了減輕安全風險,必須對其進行充分理解以進行修正。我需要理解AesCng爲什麼會違反CWE-326。是因爲AES256不再被認爲足夠安全,是FIPS設置之一還是缺少設置? – Hintz