CERT C++: MSC41-C

Никогда не конфиденциальная информация о жестком коде

Описание

Определение правила

Никогда не конфиденциальная информация о жестком коде.[1]

Реализация Polyspace

Эта проверка проверяет наличие жестко закодированных конфиденциальных данных.

Примеры

расширить все

Жестко закодированные конфиденциальные данные возникают, когда данные, которые потенциально чувствительны, непосредственно представлены в коде, например, как строковые литералы. Чекер идентифицирует данные как чувствительные от их использования в определенных функциях, таких как функции шифрования пароля.

Следующие данные могут быть потенциально чувствительными.

Тип данныхФункции, которые указывают на чувствительный характер информации
Имя хоста
  • sethostname, setdomainname, gethostbyname, gethostbyname2, getaddrinfo, gethostbyname_r, gethostbyname2_r (строковый аргумент)

  • inet_aton, inet_pton, inet_net_pton, inet_addr, inet_network (строковый аргумент)

  • mysql_real_connect, mysql_real_connect_nonblocking, mysql_connect (2-й аргумент)

Пароль
  • CreateProcessWithLogonW, LogonUser (1-й аргумент)

  • mysql_real_connect, mysql_real_connect_nonblocking, mysql_connect (3-й аргумент)

База данных
  • MySQL: mysql_real_connect, mysql_real_connect_nonblocking, mysql_connect (4-й аргумент)

  • SQLite: sqlite3_open, sqlite3_open16, sqlite3_open_v2 (1-й аргумент)

  • PostgreSQL: PQconnectdb

  • Microsoft SQL: SQLDriverConnect (3-й аргумент)

Имя пользователя
  • getpw, getpwnam, getpwnam_r, getpwuid, getpwuid_r

Сольcrypt, crypt_r (2-й аргумент)
Ключи криптографии и векторы инициализации

OpenSSL:

  • EVP_CipherInit, EVP_EncryptInit, EVP_DecryptInit (3-й аргумент)

  • EVP_CipherInit_ex, EVP_EncryptInit_ex, EVP_DecryptInit_ex (4-й аргумент)

Seed
  • srand, srandom, initstate (1-й аргумент)

  • OpenSSL: RAND_seed, RAND_add

Риск

Информация, которая является жесткой кодировкой, может быть запрошена из двоичных файлов, сгенерированных из кода.

Зафиксировать

Избегайте жесткого кодирования конфиденциальной информации.

Проверяйте информацию

Группа: Правило 48. Разное (MSC)
Введенный в R2020a

[1] Это программное обеспечение было создано MathWorks, включающее фрагменты: «Сайт SEI CERT-C», © 2017 Университет Карнеги Меллон, Веб-сайт SEI CERT-C + + © 2017 Университет Карнеги Меллон, "Стандарт кодирования SEI CERT C - Правила разработки безопасных, Надежные и безопасные системы - 2016 Edition ", © 2016 Университет Карнеги Меллон, и "Стандарт кодирования SEI CERT C++ - Правила разработки безопасных, Надежные и безопасные системы в C++ - 2016 Edition "© 2016 Университет Карнеги Меллон, с специального разрешения от его Института программной инженерии.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ МЕЛЛОН И/ИЛИ ЕГО ИНЖЕНЕРНОГО ИНСТИТУТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, СОДЕРЖАЩИЙСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ПОСТАВЛЯЕТСЯ НА БАЗИСЕ «КАК ЕСТЬ». УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ ЛЮБОГО ВОПРОСА, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ГАРАНТИЮ ПРИГОДНОСТИ ДЛЯ ЦЕЛЕЙ ИЛИ КОММЕРЧЕСКОЙ ВЫГОДЫ, ИСКЛЮЧИТЕЛЬНОСТИ, ИЛИ УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ В ОТНОШЕНИИ СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.

Это программное обеспечение и связанная с ним документация не были рассмотрены и не одобрены Университетом Карнеги-Меллон или его Институтом программной инженерии.