Reguła lintera — bezpieczne wpisy tajne w parametrach

  • Artykuł

Ta reguła znajduje parametry, których nazwy wyglądają jak wpisy tajne, ale bez bezpiecznego dekoratora, na przykład: nazwa parametru zawiera następujące słowa kluczowe:

  • hasło
  • Pwd
  • wpis tajny
  • accountkey
  • acctkey

Kod reguły lintera

Użyj następującej wartości w pliku konfiguracji Bicep , aby dostosować ustawienia reguły:

secure-secrets-in-params

Rozwiązanie

Użyj bezpiecznego dekoratora dla parametrów zawierających wpisy tajne. Bezpieczny dekorator oznacza parametr jako bezpieczny. Wartość bezpiecznego parametru nie jest zapisywana w historii wdrożenia i nie jest rejestrowana.

Poniższy przykład nie powiedzie się w tym teście, ponieważ nazwa parametru może zawierać wpisy tajne.

param mypassword string

Możesz rozwiązać ten problem, dodając bezpieczny dekorator:

@secure()
param mypassword string

Opcjonalnie możesz użyć szybkiej poprawki , aby dodać bezpieczny dekorator:

Zrzut ekranu przedstawiający szybką poprawkę reguły linter zabezpieczonej wartości domyślnej.

Wyciszanie wyników fałszywie dodatnich

Czasami ta reguła wysyła alerty dotyczące parametrów, które w rzeczywistości nie zawierają wpisów tajnych. W takich przypadkach można wyłączyć ostrzeżenie dla tego wiersza, dodając #disable-next-line secure-secrets-in-params przed wierszem z ostrzeżeniem. Przykład:

#disable-next-line secure-secrets-in-params   // Doesn't contain a secret
param mypassword string

Dobrym rozwiązaniem jest dodanie komentarza wyjaśniającego, dlaczego reguła nie ma zastosowania do tego wiersza.

Następne kroki

Aby uzyskać więcej informacji na temat linter, zobacz Use Bicep linter (Używanie lintera Bicep).