ScubaGear项目中SharePoint自定义脚本配置策略的更新解析

2025-07-04 05:16:30作者：董宙帆

背景与问题概述

在微软的SharePoint和OneDrive服务中，自定义脚本配置选项（Custom Scripting）长期以来是管理员控制用户能否在站点中执行自定义脚本或代码的关键功能。近期微软宣布将逐步弃用部分相关配置选项，这一变更直接影响到了开源安全评估工具ScubaGear的合规性检查逻辑。

ScubaGear原策略库中包含两条相关规则（MS.SHAREPOINT.4.1v1和4.2），它们原本用于验证SharePoint环境中是否启用了允许自定义脚本的配置。随着微软底层服务的调整，这些策略检查项将因API接口失效而无法正常工作，可能导致工具运行时产生误报或错误。

这些策略通过访问SharePoint管理接口的特定参数实现检查，例如CustomScript和DenyAddAndCustomizePages等属性。

微软计划分阶段移除传统配置方式，转向更现代化的安全控制模型。具体表现为：

ScubaGear项目组决定采用渐进式更新策略：

策略标记为弃用
- 在策略描述中明确标注"已弃用"状态
- 保留原有检查逻辑但添加警告信息
- 输出结果中包含微软官方变更说明
代码层调整
- 修改Rego策略语言文件（SharepointConfig.rego）
- 更新测试用例（SharepointConfig_01_test.rego）
- 同步调整测试计划文件（YAML格式）
用户指引增强
- 在报告详情（ReportDetails.rego）中添加迁移建议
- 建议用户转向微软推荐的其他安全控制方式

开发过程中需要特别关注：

企业安全团队需要注意：

这次变更反映了云服务安全管控向更集成化方向发展的趋势。ScubaGear通过及时更新策略库，既保持了工具的实用性，又为用户提供了平滑过渡的指引。建议所有使用该工具进行SharePoint环境评估的组织关注此次更新，并相应调整内部安全审计流程。

登录后查看全文