Checkmarx/kics项目中关于Azure存储账户HTTPS强制属性的更新问题

背景介绍

在基础设施即代码(IaC)安全扫描工具Checkmarx/kics中，存在一个针对Azure存储账户配置的安全检查规则。该规则原本用于验证存储账户是否启用了强制HTTPS流量的安全设置，但近期由于Azure资源提供商的参数变更，导致该规则出现了误报情况。

问题本质

Azure存储账户资源在Terraform中的配置参数发生了重要变更：

• 旧参数：enable_https_traffic_only（已弃用）
• 新参数：https_traffic_only_enabled

这一变更直接影响了kics工具中的安全检查规则(查询ID: 12944ec4-1fa0-47be-8b17-42a034f937c2)，因为该规则仍然基于旧的参数名称进行检查。当用户按照最新文档使用新参数配置存储账户时，kics会错误地报告安全漏洞，提示"Storage Account Not Forcing HTTPS"。

技术影响

这个问题会产生以下实际影响：

1. 误报问题：即使用户正确配置了HTTPS强制，工具仍会报告安全问题
2. 合规性困扰：在自动化安全扫描流程中，这种误报可能导致不必要的合规性审查
3. 开发效率：团队需要额外时间调查和确认这些误报

解决方案

Checkmarx/kics团队已经确认了这个问题，并正在进行修复工作。修复方案主要包括：

1. 更新查询规则以识别新的参数名称
2. 保持对旧参数的向后兼容性
3. 更新相关文档以反映最新变化

最佳实践建议

在等待官方修复的同时，用户可以采取以下措施：

1. 双重配置：暂时同时使用新旧两个参数，确保安全性和工具兼容性
2. 规则排除：在kics扫描配置中暂时排除该特定规则
3. 版本控制：记录使用的Terraform提供商版本，确保团队一致性

总结

这个问题展示了基础设施即代码生态系统中一个常见挑战：云服务提供商的API变更如何影响安全工具的有效性。作为开发者，我们需要：

• 保持对所用工具和提供商变更的关注
• 理解安全规则背后的原理而不仅仅是表面配置
• 在工具出现误报时能够深入分析根本原因

Checkmarx/kics团队对此问题的快速响应也体现了开源社区的优势，用户反馈能够直接推动工具改进。