Java 在ScramSha1Authenticator中使用强算法-根据Veracode?
我们使用的是Mongo DB java驱动程序3.4.1 jar。当我们进行Veracode测试时,我们发现: ScramSha1Authenticator.java第215行正在使用损坏或有风险的加密算法 是否有任何已知的解决方案/解决方法Java 在ScramSha1Authenticator中使用强算法-根据Veracode?,java,mongodb,sha,veracode,Java,Mongodb,Sha,Veracode,我们使用的是Mongo DB java驱动程序3.4.1 jar。当我们进行Veracode测试时,我们发现: ScramSha1Authenticator.java第215行正在使用损坏或有风险的加密算法 是否有任何已知的解决方案/解决方法 由于这是一个关键问题,我们必须在投入生产之前解决它。这不容易改变,因为它不仅仅是驱动程序:是最新版本MongoDB中的当前用户名密码身份验证协议,它使用SHA-1;驾驶员不能单方面决定使用SHA-256 我不知道您对通过Veracode测试的承诺有多大,但
由于这是一个关键问题,我们必须在投入生产之前解决它。这不容易改变,因为它不仅仅是驱动程序:是最新版本MongoDB中的当前用户名密码身份验证协议,它使用SHA-1;驾驶员不能单方面决定使用SHA-256 我不知道您对通过Veracode测试的承诺有多大,但我可以看到两种可能的选择,它们允许您在Veracode安全报告中安全地使用MongoDB:
Veracode有什么建议吗?也许把它改成SHA256是的。但是,我们如何改变它呢。这是第三方代码。不是我们的。我们可能需要向mongo DB提出相应的更改请求。是的,您可能需要这样做。或者您自己获取代码并进行更改(如果我没有错的话,它在github中)。或者向Veracode咨询是否可以缓解这一问题(解释这是第三方代码等等)——不确定如何处理这一问题。紧急停堆-SHA-1和SHA-1之间存在差异。请参见此处回复的重复帖子: