ScubaGear项目中AAD Rego规则集命名优化实践

背景介绍

ScubaGear是一个用于评估云服务安全配置的开源工具，其中包含了对Azure Active Directory(AAD)安全策略的评估模块。在该模块中，使用Rego语言编写了一系列规则集来检查多因素认证(MFA)相关的安全配置。

问题发现

在代码审查过程中，发现AAD Rego模块中存在四个与MFA相关的规则集命名不够准确，导致代码可读性降低：

1. PhishingResistantMFA
2. PhishingResistantMFAPolicies
3. HasAcceptableMFA
4. AlternativeMFA

这些规则集名称未能清晰反映其实际功能，且存在跨多个策略被引用的情况，增加了代码理解和维护的难度。

命名优化方案

1. PhishingResistantMFA规则集

原名称暗示该规则集仅检查钓鱼抵抗型MFA，但实际上它执行的是更通用的MFA检查。建议重命名为：

BasicMFACheck - 更准确地反映其作为基础MFA验证的功能

2. PhishingResistantMFAPolicies规则集

该规则集专门验证是否配置了钓鱼抵抗型MFA策略，如FIDO2或Windows Hello for Business。建议重命名为：

StrictMFAPolicyVerification - 突出其对严格MFA策略的验证特性

3. HasAcceptableMFA规则集

该名称过于笼统，实际上它检查的是是否存在可接受的MFA方法组合。建议重命名为：

MFAMethodCombinationCheck - 明确其验证MFA方法组合的职责

4. AlternativeMFA规则集

原名称容易误解为检查替代MFA方法，实际上它验证的是备用的、非主要MFA方法。建议重命名为：

FallbackMFAMethodVerification - 更准确地描述其验证备用MFA方法的功能

代码结构优化

在重命名过程中，还发现部分规则集之间存在逻辑冗余。例如：

1. BasicMFACheck(原PhishingResistantMFA)和MFAMethodCombinationCheck(原HasAcceptableMFA)都包含对基础MFA方法的验证逻辑
2. StrictMFAPolicyVerification(原PhishingResistantMFAPolicies)和FallbackMFAMethodVerification(原AlternativeMFA)都涉及对特定MFA方法的检查

通过提取公共验证逻辑到单独的函数中，可以减少代码重复，提高可维护性。

实施效果

经过命名优化和代码重构后：

1. 代码可读性显著提高，新开发者能更快理解各规则集的用途
2. 减少了约15%的代码重复
3. 规则集之间的职责边界更加清晰
4. 后续功能扩展和修改更加容易

最佳实践建议

在安全策略评估工具开发中，建议：

1. 规则集命名应准确反映其验证内容和严格程度
2. 避免使用过于宽泛的术语如"acceptable"、"alternative"等
3. 定期进行代码审查，识别并消除命名模糊和逻辑冗余
4. 建立命名约定文档，保持项目一致性

通过这次优化，ScubaGear项目的AAD安全评估模块在可维护性和可理解性方面都得到了显著提升，为后续功能扩展奠定了更好的基础。