我们正在使用 Mongo DB java driver 3.4.1 jar。当我们进行 Veracode 测试时,我们发现:
ScramSha1Authenticator.java 第 215 行正在使用损坏或有风险的加密算法
是否有任何已知的解决方案/解决方法?
由于这是一个关键问题,我们必须在投入生产之前解决它。
问问题
81 次
1 回答
1
这个不能随便改,因为不只是驱动:SCRAM-SHA-1是目前MongoDB最新版本中的用户名-密码认证协议,它使用的是SHA-1;驱动程序不能只是单方面决定使用 SHA-256。
我不知道您对通过 Veracode 测试的承诺有多大,但我可以看到两个可能的选项,尽管有 Veracode 安全报告,您仍然可以安全地使用 MongoDB:
- 从 MongoDB 获得 SCRAM-SHA-1 机制不会受到SHA-1 算法众所周知的安全问题的保证
- 不使用这种认证机制,而是使用不同的机制;也许x.509 Certificate Authentication或Kerberos Authentication
于 2017-04-18T14:21:53.380 回答