Compartir a través de

Regla de linter: protección de secretos en parámetros

  • Artículo

Esta regla busca parámetros cuyos nombres parecen secretos, pero no tienen un decorador seguro, por ejemplo: un nombre de parámetro que contiene las siguientes palabras clave:

  • password
  • pwd
  • secret
  • accountkey
  • acctkey

Código de regla de linter

Use el valor siguiente del archivo de configuración de Bicep para personalizar los valores de regla:

secure-secrets-in-params

Soluciones

Use el decorador seguro para los parámetros que contienen secretos. El decorador seguro marca el parámetro como seguro. El valor de un parámetro seguro no se guarda en el historial de implementaciones y no se registra.

En el ejemplo siguiente se produce un error en esta prueba porque el nombre del parámetro puede contener secretos.

param mypassword string

Para corregirlo, agregue el decorador seguro:

@secure()
param mypassword string

Opcionalmente, puede usar Corrección rápida para agregar el decorador seguro:

La captura de pantalla de la corrección rápida de la regla de linter del valor predeterminado seguro.

Silenciamiento de los falsos positivos

A veces, esta regla alerta sobre parámetros que realmente no contienen secretos. En estos casos, puede deshabilitar la advertencia para esta línea agregando #disable-next-line secure-secrets-in-params antes de la línea con la advertencia. Por ejemplo:

#disable-next-line secure-secrets-in-params   // Doesn't contain a secret
param mypassword string

Es una buena práctica agregar un comentario que explique por qué la regla no se aplica a esta línea.

Pasos siguientes

Para obtener más información acerca de linter, consulte Uso de linter de Bicep.