Нарушение конфиденциальности Checkmarkx

Question

При сканировании кода с использованием checkmarx для уязвимостей безопасности сообщалось о нарушении конфиденциальности, указывая на имя переменной.

public const string Authentication = "authentication"; 

Я использую это переменный, чтобы создать область в кэше под этим именем («аутентификация»), которая хранит все детали, связанные с аутентификацией.

Можно ли изменить это имя переменной на какое-то менее содержательное имя, чтобы устранить проблему нарушения конфиденциальности. Как это угроза безопасности?

Answer 1

Это, вероятно, ложный позитив. Вы должны увидеть, что это правило нарушение конфиденциальности ищет, и понять, как это работает ...

Вы также можете пометить его как ложный положительный результат и двигаться дальше ... Изменить статус не годный для использования

Answer 2

Checkmarx ищет переменные с именами типа «пароль», «учетные данные», «аутентификация» и т. д. и когда он видит, что вы назначаете им значение, он предупреждает вас, что вы можете хранить конфиденциальную информацию в коде (жестко кодировать). В случае, если вы упомянули, это выглядит ложно позитивным, потому что это не чувствительная информация.