我创建了一个使用 org.apache.commons.lang.RandomStringUtils 生成随机单词(字母数字)的类。
public String randomWord(int wordLength) {
return RandomStringUtils.random(wordLength, 0, 0, true, true, null, new SecureRandom());
}
此代码运行良好,但是当我将其提交给Veracode 时,我收到一个中等错误“熵不足(CWE ID 331)”
我认为使用 SecureRandom 就足以解决此错误,但事实并非如此,我也不知道为什么。
为什么使用 SecureRandom 不够好或不够安全?
有没有办法使用 org.apache.commons.lang.RandomStringUtils 而不会让 Veracode 不开心?是否有任何其他安全库可用于生成安全的随机字母数字词?