CA2119: private 인터페이스를 만족하는 메서드를 봉인하십시오.
| 속성 | 값 |
|---|---|
| 규칙 ID | CA2119 |
| 제목 | private 인터페이스를 만족하는 메서드를 봉인하세요. |
| 범주 | 보안 |
| 수정 사항이 주요 변경인지 여부 | 주요 변경 |
| .NET 9에서 기본적으로 사용 | 아니요 |
원인
상속 가능한 public 형식이 internal(Visual Basic의 경우 Friend) 인터페이스의 재정의 가능한 메서드 구현을 제공합니다.
규칙 설명
인터페이스 메서드에는 구현 형식에서 변경할 수 없는 퍼블릭 접근성이 있습니다. 내부 인터페이스는 인터페이스를 정의하는 어셈블리 외부에서 구현되지 않는 계약을 만듭니다. virtual(Visual Basic의 경우 Overridable) 한정자를 사용하여 내부 인터페이스의 메서드를 구현하는 public 형식은 어셈블리 외부에 있는 파생된 형식으로 메서드를 재정의할 수 있습니다. 정의 어셈블리의 두 번째 형식에서 메서드를 호출하고 내부 전용 계약이 필요한 경우 외부 어셈블리의 재정의된 메서드를 대신 실행하면 동작이 손상될 수 있습니다. 따라서 보안 취약성이 발생합니다.
위반 문제를 해결하는 방법
이 규칙의 위반 문제를 해결하려면 다음 중 하나를 사용하여 어셈블리 외부에서 메서드가 재정의되지 않도록 합니다.
선언 형식
sealed(Visual Basic의 경우NotInheritable)를 만듭니다.선언 형식의 접근성을
internal(Visual Basic의 경우Friend)로 변경합니다.선언 형식에서 모든 public 생성자를 제거합니다.
virtual한정자를 사용하지 않고 메서드를 구현합니다.메서드를 명시적으로 구현합니다.
경고를 표시하지 않는 경우
메서드가 어셈블리 외부에서 재정의되는 경우 악용될 수 있는 보안 문제가 없으면 신중하게 검토한 후 이 규칙의 경고를 표시하지 않아도 됩니다.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA2119
// The code that's violating the rule is on this line.
#pragma warning restore CA2119
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 구성 파일에서 심각도를 none으로 설정합니다.
[*.{cs,vb}]
dotnet_diagnostic.CA2119.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
예 1
다음 예제에서는 이 규칙을 위반하는 BaseImplementation 형식을 보여 줍니다.
// Internal by default.
interface IValidate
{
bool UserIsValidated();
}
public class BaseImplementation : IValidate
{
public virtual bool UserIsValidated()
{
return false;
}
}
public class UseBaseImplementation
{
public void SecurityDecision(BaseImplementation someImplementation)
{
if (someImplementation.UserIsValidated() == true)
{
Console.WriteLine("Account number & balance.");
}
else
{
Console.WriteLine("Please login.");
}
}
}
Interface IValidate
Function UserIsValidated() As Boolean
End Interface
Public Class BaseImplementation
Implements IValidate
Overridable Function UserIsValidated() As Boolean _
Implements IValidate.UserIsValidated
Return False
End Function
End Class
Public Class UseBaseImplementation
Sub SecurityDecision(someImplementation As BaseImplementation)
If (someImplementation.UserIsValidated() = True) Then
Console.WriteLine("Account number & balance.")
Else
Console.WriteLine("Please login.")
End If
End Sub
End Class
예제 2
다음 예제에서는 이전 예제의 가상 메서드 구현을 악용합니다.
public class BaseImplementation
{
public virtual bool UserIsValidated()
{
return false;
}
}
public class UseBaseImplementation
{
public void SecurityDecision(BaseImplementation someImplementation)
{
if (someImplementation.UserIsValidated() == true)
{
Console.WriteLine("Account number & balance.");
}
else
{
Console.WriteLine("Please login.");
}
}
}
Public Class BaseImplementation
Overridable Function UserIsValidated() As Boolean
Return False
End Function
End Class
Public Class UseBaseImplementation
Sub SecurityDecision(someImplementation As BaseImplementation)
If (someImplementation.UserIsValidated() = True) Then
Console.WriteLine("Account number & balance.")
Else
Console.WriteLine("Please login.")
End If
End Sub
End Class
참고 항목
.NET