Fatal编程技术网
  • java/
  • Java &引用;熵不足(CWE ID 331)“;在com.google.android.gms.analytics中使用veracode

Java &引用;熵不足(CWE ID 331)“;在com.google.android.gms.analytics中使用veracode

java android google-analytics

Java &引用;熵不足(CWE ID 331)“;在com.google.android.gms.analytics中使用veracode,java,android,google-analytics,veracode,Java,Android,Google Analytics,Veracode,使用时,VERACODE的熵不足,无法在Android应用程序中使用java.util.Random.nextInt。 在我的应用程序中,源代码Random.nextInt未被使用,它用于谷歌分析(com.google.android.gms.analytics) 攻击向量:java.util.Random.nextInt 说明:标准随机数生成器在用于安全目的时无法提供足够的熵。攻击者可以强行使用大量伪随机数生成器,如rand()。听起来您正在使用商业工具检查潜在的安全漏洞 GoogleAnal

使用时,VERACODE的熵不足,无法在Android应用程序中使用java.util.Random.nextInt。 在我的应用程序中,源代码Random.nextInt未被使用,它用于谷歌分析(com.google.android.gms.analytics)

攻击向量:java.util.Random.nextInt

说明:标准随机数生成器在用于安全目的时无法提供足够的熵。攻击者可以强行使用大量伪随机数生成器,如rand()。

听起来您正在使用商业工具检查潜在的安全漏洞

GoogleAnalytics是封闭源代码的,因此很难确定它是如何使用
Random
的。因此,很难知道这是否重要,或者是否有解决办法

然而,你得到的报告是非常不具体的。是的,如果GoogleAnalytics功能需要良好的“随机性”来源,那么随机性是一个糟糕的选择。但我们不知道情况是否如此。它可能只是使用随机数生成器来选择与之对话的谷歌分析服务器。。。用于负载平衡

如果这是你真正担心的问题:

  • 联系Veracode制造商,以澄清报告的含义。他们可能会告诉你这是一个错误的警报

  • 联系谷歌,询问他们是否存在真正的漏洞

    • 听起来您正在使用商业工具检查潜在的安全漏洞

    GoogleAnalytics是封闭源代码的,因此很难确定它是如何使用
    Random
    的。因此,很难知道这是否重要,或者是否有解决办法

    然而,你得到的报告是非常不具体的。是的,如果GoogleAnalytics功能需要良好的“随机性”来源,那么随机性是一个糟糕的选择。但我们不知道情况是否如此。它可能只是使用随机数生成器来选择与之对话的谷歌分析服务器。。。用于负载平衡

    如果这是你真正担心的问题:

  • 联系Veracode制造商,以澄清报告的含义。他们可能会告诉你这是一个错误的警报

  • 联系谷歌,询问他们是否存在真正的漏洞

    • 你有什么问题。明确你的问题你的问题是什么。把你的问题说清楚