Partager via

Règle Linter : sécuriser les secrets dans les paramètres

  • Article

Cette règle recherche les paramètres dont les noms ressemblent à des secrets, mais sans le décorateur sécurisé, par exemple : un nom de paramètre contient les mots clés suivants :

  • mot de passe
  • pwd
  • secret
  • accountkey
  • acctkey

Code de règle de linter

Utilisez la valeur suivante dans le fichier config Bicep pour personnaliser les paramètres de règle :

secure-secrets-in-params

Solution

Utilisez le décorateur sécurisé pour les paramètres qui contiennent des secrets. Le décorateur sécurisé marque le paramètre comme sécurisé. La valeur d’un paramètre sécurisé n’est pas enregistrée dans l’historique de déploiement et n’est pas journalisée.

L’exemple suivant échoue à ce test, car le nom du paramètre peut contenir des secrets.

param mypassword string

Vous pouvez le corriger en ajoutant le décorateur sécurisé :

@secure()
param mypassword string

Vous pouvez également utiliser le correctif rapide pour ajouter l’élément décoratif sécurisé :

Capture d’écran du correctif rapide de la règle linter par valeur par défaut sécurisée.

Ignorer les faux-positifs

Parfois, cette règle alerte sur les paramètres qui ne contiennent pas réellement de secrets. Dans ce cas, vous pouvez désactiver l’avertissement pour cette ligne en ajoutant #disable-next-line secure-secrets-in-params avant la ligne avec l’avertissement. Par exemple :

#disable-next-line secure-secrets-in-params   // Doesn't contain a secret
param mypassword string

Il est judicieux d’ajouter un commentaire expliquant pourquoi la règle ne s’applique pas à cette ligne.

Étapes suivantes

Pour plus d’informations sur le linter, consultez Utiliser le linter Bicep.