CA5375:請勿使用帳戶共用存取簽章
| 屬性 | 值 |
|---|---|
| 規則識別碼 | CA5375 |
| 標題 | 請勿使用帳戶共用存取簽章 |
| 類別 | 安全性 |
| 修正程式是中斷或非中斷 | 不中斷 |
| 預設在 .NET 8 中啟用 | No |
原因
使用 命名空間下Microsoft.WindowsAzure.Storage的方法產生帳戶共用存取簽章 (SASGetSharedAccessSignature)。
檔案描述
帳戶 SAS 可以將 Blob 容器、資料表、佇列和檔案共用的讀取、寫入和刪除作業的存取權限,委派給本無權限的服務 SAS。 不過,其不支援容器層級原則,而且對於授與的權限具有較少的彈性和控制。 可能的話,請使用服務 SAS 進行精細的訪問控制。 如需詳細資訊,請參閱 使用共用存取簽章委派存取權。
如何修正違規
使用服務 SAS,而不是帳戶 SAS 來進行更細緻的訪問控制和容器層級存取原則。
隱藏警告的時機
如果您確定所有資源的許可權都盡可能受到限制,則隱藏此規則是安全的。
隱藏警告
如果您只想要隱藏單一違規,請將預處理器指示詞新增至原始程式檔以停用,然後重新啟用規則。
#pragma warning disable CA5375
// The code that's violating the rule is on this line.
#pragma warning restore CA5375
若要停用檔案、資料夾或項目的規則,請在組態檔中將其嚴重性設定為 。none
[*.{cs,vb}]
dotnet_diagnostic.CA5375.severity = none
如需詳細資訊,請參閱 如何隱藏程式代碼分析警告。
虛擬程式代碼範例
違規
目前,下列虛擬程式代碼範例說明此規則偵測到的模式。
using System;
using Microsoft.WindowsAzure.Storage;
class ExampleClass
{
public void ExampleMethod(SharedAccessAccountPolicy policy)
{
CloudStorageAccount cloudStorageAccount = new CloudStorageAccount();
cloudStorageAccount.GetSharedAccessSignature(policy);
}
}
解決方案
而不是帳戶 SAS,請使用服務 SAS。
using System;
using Microsoft.WindowsAzure.Storage;
using Microsoft.WindowsAzure.Storage.File;
class ExampleClass
{
public void ExampleMethod(StorageCredentials storageCredentials, SharedAccessFilePolicy policy, SharedAccessFileHeaders headers, string groupPolicyIdentifier, IPAddressOrRange ipAddressOrRange)
{
CloudFile cloudFile = new CloudFile(storageCredentials);
SharedAccessProtocol protocols = SharedAccessProtocol.HttpsOnly;
cloudFile.GetSharedAccessSignature(policy, headers, groupPolicyIdentifier, protocols, ipAddressOrRange);
}
}
