HARDCODED.SEED : Hardcoded Seed in PRNG

JavaScript is not currently enabled, but is required for full CodeSonar manual search and browse functionality.

If you are viewing this file in your hub's Web GUI, enable JavaScript in your browser: you will also need it for GUI functionality.

If you opened this file directly from disk, your browser may be directly suppressing JavaScript functionality: certain browsers perform this suppression on local files (but not files delivered by web servers) for security reasons.

If you access the manual through the hub's Web GUI, the functionality will not be suppressed because the hub is a web server.
Alternatively, your browser may allow you to explicitly disable the security setting that suppresses functionality. See the CodeSonar FAQ for more information.

A pseudorandom number generator (PRNG) is passed a hard-coded seed value.

If a PRNG is always initialized with the same seed, it will always produce the same sequence of values. If the resulting pseudorandom numbers are used in a security context, this represents a security risk.

クラス名

Hardcoded Seed in PRNG

日本語クラス名

Hardcoded Seed in PRNG

クラス分類

セキュリティ (security)

ニーモニック

HARDCODED.SEED

カテゴリー

CWE	CWE:336	Same Seed in Pseudo-Random Number Generator (PRNG)
CERT-C	CERT-C:MSC32-C	Properly seed pseudorandom number generators
	CERT-C:MSC41-C	Never hard code sensitive information
CERT-CPP	CERT-CPP:MSC51-CPP	Ensure your random number generator is properly seeded
OWASP-2017	OWASP-2017:A6	Security misconfiguration
OWASP-2021	OWASP-2021:A5	Security misconfiguration

対応言語

C および C++ で利用可能です。

有効/無効設定

このワーニングクラスのチェックはデフォルトで有効になっています。チェックを無効にするにはプロジェクト設定ファイル（configuration file）に以下の WARNING_FILTER ルールを追加してください。

WARNING_FILTER += discard class="Hardcoded Seed in PRNG"

#include <stdlib.h>
#include <stdio.h>

unsigned int my_hardcoded_seed(){return 5;}
unsigned int my_random_seed();                            /* defined elsewhere; doesn't return a hardcoded value */

void test_hardcoded_seed(){
  int i;
  srand(5);                    /* 'Hardcoded Seed in PRNG' warning issued here */
  for (i = 0; i<10; i++){
    printf("%d\n", rand());    /* the same sequence of 10 numbers is printed here every time test_hardcoded_seed() is called */
  }

  srand(my_hardcoded_seed());  /* 'Hardcoded Seed in PRNG' warning issued here */
  for (i = 0; i<10; i++){
    printf("%d\n", rand());    /* the same sequence of 10 numbers is printed here every time test_hardcoded_seed() is called */
  }

  srand(my_random_seed());                                /* ok: seed is not hardcoded */
  for (i = 0; i<10; i++){
    printf("%d\n", rand());
  }
}

This class is defined using HARDCODED_ARGS_* rules in the general template configuration file, and covers various common procedures that take PRNG seed parameters. For a full list, see the "Factory Settings" in the documentation for HARDCODED_ARGS_*.

このクラスをチェックする関数を追加するには、以下の新たな HARDCODED_ARGS_* ルールのセットを作成してください。

HARDCODED_ARGS_REGEX はチェックしたい関数名もしくは関数名の組み合わせを設定します。
HARDCODED_ARGS_LIST identifies the parameter position (or positions) that contains a PRNG seed value that should not be hardcoded.
HARDCODED_ARGS_CLASS_NAME は "Hardcoded Seed in PRNG " を設定します。
HARDCODED_ARGS_CATEGORIES および HARDCODED_ARGS_BASE_RANK は既に設定されている他の Hardcoded Seed in PRNG ルールと同様に設定します。

このクラスをチェックする関数を除外するには、一致する HARDCODED_ARGS_* ルールを一般テンプレート設定ファイルからコメントアウトしてください。

設定ファイルの以下のパラメータがこのワーニングクラスのチェックに影響します。

HARDCODED.SEED : Hardcoded Seed in PRNG

要旨

プロパティ

例

注釈

関連のある設定ファイルパラメータ