リンタールール - パラメーター内のシークレットをセキュリティで保護する

このルールは、名前がシークレットのように見えても、セキュリティで保護されたデコレーターがないパラメーターを検索します。たとえば、パラメーター名に次のキーワードが含まれている場合です。

リンタールールのコード

ルール設定をカスタマイズするには、Bicep 構成ファイルで次の値を使用します。

secure-secrets-in-params

シークレットを含むパラメーターには、セキュリティで保護されたデコレーターを使用します。セキュリティで保護されたデコレーターは、セキュリティで保護されているパラメーターをマークします。セキュリティで保護されたパラメーターの値はデプロイ履歴に保存されず、ログに記録されません。

次の例では、パラメーター名にシークレットが含まれている可能性があるため、このテストは失敗します。

param mypassword string

これを修正するには、セキュリティで保護されたデコレーターを追加します。

@secure()
param mypassword string

必要に応じて、クイック修正を使用して、セキュリティで保護されたデコレーターを追加できます。

セキュリティで保護された既定値リンタールールのクイック修正のスクリーンショット。

このルールは、実際にはシークレットを含まないパラメーターに対してアラートを生成する場合があります。このような場合は、警告を含む行の前に #disable-next-line secure-secrets-in-params を追加することで、この行の警告を無効にできます。例:

#disable-next-line secure-secrets-in-params   // Doesn't contain a secret
param mypassword string

ルールがこの行に適用されない理由を説明するコメントを追加することをお勧めします。

リンターの詳細については、「Bicep リンターの使用方法」を参照してください。