ルール ID: ST-SEC-009

スコープ： ワークフロー

説明

このルールは、SecureString 型の変数がワークフローで誤用されているかどうかを確認します。この String 型の変数は、機密性の高い可能性のある文字列をプレーン テキストとして保存しないようにする場合に使用されます。機密情報を入力として受け入れる特定のアクティビティが、SecureString 型をサポートしていない場合、それらをこのルールから除外できます。

推奨

SecureString 型は、意図した目的以外に使用してはなりません。したがって、SecureString から String へのキャストは、セキュリティ上のリスクと見なされる場合があります。

Microsoft の公式ドキュメントによると、String オブジェクトが機密性の高い情報を含んでいる場合、使用後にそのデータが開示されてしまうリスクが生じます。

さらに、SecureString 型変数の範囲は、理想的にはそれらが作成されたのと同じ範囲内に制限されるべきです。

ルールの変更

[プロジェクト設定] ウィンドウで、[ワークフロー アナライザー] タブを選択します。以下の画像のように、ルールを見つけて選択します。

SecureString 型をサポートしていないアクティビティを除外するには、[除外されたアクティビティ] フィールドにそれらの名前空間をカンマで区切って追加します。

既定値にリセット

値を既定値に戻すには、[プロジェクト設定] ウィンドウのルールを右クリックして、[既定値にリセット] をクリックします。