Règle de linter - Paramètre de sécurité par défaut

Cette règle recherche les valeurs par défaut codées en dur pour les paramètres sécurisés.

Code de règle de linter

Utilisez la valeur suivante dans le fichier config Bicep pour personnaliser les paramètres de règle :

secure-parameter-default

Solution

Ne fournissez pas de valeur par défaut codée en dur pour un paramètre sécurisé dans votre fichier Bicep, sauf s’il s’agit d’une chaîne vide ou d’une expression appelant la fonction newGuid().

Vous utilisez l’élément décoratif @secure() sur des paramètres qui contiennent des valeurs sensibles, comme des mots de passe. Lorsqu’un paramètre utilise un élément décoratif sécurisé, sa valeur n’est pas enregistrée ou stockée dans l’historique de déploiement. Cette action empêche un utilisateur malveillant de découvrir la valeur sensible.

Toutefois, lorsque vous fournissez une valeur par défaut pour un paramètre sécurisé, cette valeur est détectable par quiconque peut accéder au modèle ou à l’historique de déploiement.

L’exemple suivant échoue à ce test, car le paramètre contient une valeur par défaut codée en dur.

@secure()
param adminPassword string = 'HardcodedPassword'

Vous pouvez résoudre ce problème en supprimant la valeur par défaut.

@secure()
param adminPassword string

Si vous le souhaitez, vous pouvez utiliser le correctif rapide pour supprimer la valeur par défaut non sécurisée :

Vous pouvez également fournir une chaîne vide pour la valeur par défaut.

@secure()
param adminPassword string = ''

Vous pouvez aussi utiliser newGuid() pour générer la valeur par défaut.

@secure()
param adminPassword string = newGuid()

Étapes suivantes

Pour plus d’informations sur le linter, consultez Utiliser le linter Bicep.