feat: add rule RES.02

Signed-off-by: Mats Johansson <extern.mats.johansson@digg.se>

Author: mmjohansson

GUIDELINES.md

@@ -43,45 +43,47 @@ Detta dokument specificerar reglerna som verktyget tillämpar.
 2. [Område: Datum- och tidsformat](#område-datum--och-tidsformat)
    - [ID: DOT.01](#id-dot01)
    - [ID: DOT.04](#id-dot04)
-3. [Område: URL Format och namngivning](#område-url-format-och-namngivning)
+3. [Område: Resurser](#område-resurser)
+   - [ID: RES.02](#id-res02)
+4. [Område: URL Format och namngivning](#område-url-format-och-namngivning)
    - [ID: UFN.01](#id-ufn01)
    - [ID: UFN.02](#id-ufn02)
    - [ID: UFN.05](#id-ufn05)
    - [ID: UFN.07](#id-ufn07)
    - [ID: UFN.08](#id-ufn08)
    - [ID: UFN.09](#id-ufn09)
-4. [Område: API Message](#område-api-message)
+5. [Område: API Message](#område-api-message)
    - [ID: AME.01](#id-ame01)
    - [ID: AME.02](#id-ame02)
    - [ID: AME.04](#id-ame04)
    - [ID: AME.05](#id-ame05)
    - [ID: AME.07](#id-ame07)
-5. [Område: API Request](#område-api-request)
+6. [Område: API Request](#område-api-request)
    - [ID: ARQ.01](#id-arq01)
    - [ID: ARQ.03](#id-arq03)
    - [ID: ARQ.05](#id-arq05)
-6. [Område: Felhantering](#område-felhantering)
+7. [Område: Felhantering](#område-felhantering)
    - [ID: FEL.01](#id-fel01)
    - [ID: FEL.02](#id-fel02)
-7. [Område: Versionhantering](#område-versionhantering)
+8. [Område: Versionhantering](#område-versionhantering)
    - [ID: VER.05](#id-ver05)
    - [ID: VER.06](#id-ver06)
-8. [Område: Filtrering, paginering och sökparametrar](#område-filtrering-paginering-och-sökparametrar)
+9. [Område: Filtrering, paginering och sökparametrar](#område-filtrering-paginering-och-sökparametrar)
    - [ID: FNS.01](#id-fns01)
    - [ID: FNS.03](#id-fns03)
    - [ID: FNS.05](#id-fns05)
    - [ID: FNS.06](#id-fns06)
    - [ID: FNS.07](#id-fns07)
    - [ID: FNS.08](#id-fns08)
    - [ID: FNS.09](#id-fns09)
-9. [Område: Säkerhet](#område-säkerhet)
-   - [ID: SAK.01](#id-sak01)
-   - [ID: SAK.09](#id-sak09)
-   - [ID: SAK.10](#id-sak10)
-   - [ID: SAK.15](#id-sak15)
-   - [ID: SAK.16](#id-sak16)
-   - [ID: SAK.18](#id-sak18)
-10. [Område: Förutsättningar](#område-förutsättningar)
+10. [Område: Säkerhet](#område-säkerhet)
+    - [ID: SAK.01](#id-sak01)
+    - [ID: SAK.09](#id-sak09)
+    - [ID: SAK.10](#id-sak10)
+    - [ID: SAK.15](#id-sak15)
+    - [ID: SAK.16](#id-sak16)
+    - [ID: SAK.18](#id-sak18)
+11. [Område: Förutsättningar](#område-förutsättningar)
     - [ID: FOR.02](#id-for02)
 
 ## Område: Dokumentation
@@ -425,6 +427,40 @@ I exemplet ovan, så exemplifieras regeln med att oavsett typ av operation, unde
 
 ---
 
+## Område: Resurser
+
+**Täckningsgrad: 17%**
+
+### ID: RES.02
+
+**Krav:** Primärnycklar eller personligt identifierbar information (personnummer, etc.) BÖR INTE exponeras.
+
+**Typ:** BÖR
+
+**JSON Path Plus-uttryck:**
+
+```
+$.paths[*].*.parameters[*]
+```
+
+**Förklaring:**
+Regeln kontrollerar att parametrar av typerna query och path inte använder följande namn:
+
+- pnr
+- personalidentitynumber
+- personnummer
+- personnr
+- ssn
+- socialsecuritynumber
+
+**Exempel:**
+
+![Exempelbild på hur parametrar anges på ett korrekt sätt i en OpenAPI Description](images/res02.png)
+
+_Exemplet ovan är giltigt då namnet på parametern inte är ett av ovanstående._
+
+---
+
 ## Område: URL Format och namngivning
 
 **Täckningsgrad: 54%**

REUSE.toml

@@ -51,6 +51,7 @@ path = [
     "images/fns07.png",
     "images/fns08.png",
     "images/fns09.png",
+    "images/res02.png",
     "images/rest-api-profil.png",
     "images/sak01.png",
     "images/sak09.png",

images/res02.png

@@ -0,0 +1,59 @@
+// SPDX-FileCopyrightText: 2025 diggsweden/rest-api-profil-lint-processor
+//
+// SPDX-License-Identifier: EUPL-1.2
+
+import { DiagnosticSeverity } from '@stoplight/types';
+import { CustomProperties } from '../ruleinterface/CustomProperties.ts';
+import { BaseRuleset } from './BaseRuleset.ts';
+import { personalIdentityNumberFieldNames } from './constants/ResConstants.ts';
+
+const moduleName: string = 'ResRules.ts';
+
+export class Res02 extends BaseRuleset {
+  static customProperties: CustomProperties = {
+    område: 'Resurser',
+    id: 'RES.02',
+  };
+  message = 'Primärnycklar eller personligt identifierbar information (personnummer, etc.) BÖR INTE exponeras. ';
+  given = '$.paths[*].*.parameters[*]';
+  then = [
+    {
+      function: (targetVal: any, _opts: string, paths: string[]) => {
+        if (targetVal.in == 'query' || targetVal.in == 'path') {
+          const lowerCaseTargetVal = targetVal.name.toLowerCase();
+          const containsPersonalIdentityNumber = personalIdentityNumberFieldNames.includes(lowerCaseTargetVal);
+          if (containsPersonalIdentityNumber) {
+            return [
+              {
+                message: this.message,
+                severity: this.severity,
+                paths: paths,
+              },
+            ];
+          }
+        }
+        return [];
+      },
+    },
+    {
+      function: (targetVal: string, _opts: string, paths: string[]) => {
+        this.trackRuleExecutionHandler(
+          JSON.stringify(targetVal, null, 2),
+          _opts,
+          paths,
+          this.severity,
+          this.constructor.name,
+          moduleName,
+          Res02.customProperties
+        );
+      },
+    },
+  ];
+  severity = DiagnosticSeverity.Warning;
+  constructor() {
+    super();
+    super.initializeFormats(['OAS3']);
+  }
+}
+
+export default { Res02 };

rulesets/ResRules.ts

@@ -0,0 +1,12 @@
+// SPDX-FileCopyrightText: 2025 diggsweden/rest-api-profil-lint-processor
+//
+// SPDX-License-Identifier: EUPL-1.2
+
+export const personalIdentityNumberFieldNames = [
+  'pnr',
+  'personalIdentityNumber',
+  'personnummer',
+  'personnr',
+  'ssn',
+  'socialSecurityNumber',
+];

rulesets/constants/ResConstants.ts

@@ -0,0 +1,99 @@
+// SPDX-FileCopyrightText: 2025 diggsweden/rest-api-profil-lint-processor
+//
+// SPDX-License-Identifier: EUPL-1.2
+
+import { DiagnosticSeverity } from '@stoplight/types';
+import testRule from './util/helperTest.ts';
+
+testRule('Res02', [
+  {
+    name: 'ogiltigt testfall - Personnummer BÖR INTE förekomma i en resurs (query param) ',
+    document: {
+      openapi: '3.1.0',
+      info: { version: '1.0.0' },
+      paths: {
+        '/pets': {
+          get: {
+            parameters: [
+              {
+                name: 'pnr',
+                in: 'query',
+              },
+            ],
+          },
+        },
+      },
+    },
+    errors: [
+      {
+        message: 'Primärnycklar eller personligt identifierbar information (personnummer, etc.) BÖR INTE exponeras.',
+        severity: DiagnosticSeverity.Warning,
+      },
+    ],
+  },
+  {
+    name: 'giltigt testfall - Personnummer BÖR INTE förekomma i en resurs (query param) ',
+    document: {
+      openapi: '3.1.0',
+      info: { version: '1.0.0' },
+      paths: {
+        '/pets': {
+          get: {
+            parameters: [
+              {
+                name: 'title',
+                in: 'query',
+              },
+            ],
+          },
+        },
+      },
+    },
+    errors: [],
+  },
+  {
+    name: 'ogiltigt testfall - Personnummer BÖR INTE förekomma i en resurs (path param) ',
+    document: {
+      openapi: '3.1.0',
+      info: { version: '1.0.0' },
+      paths: {
+        '/pets': {
+          get: {
+            parameters: [
+              {
+                name: 'pnr',
+                in: 'path',
+              },
+            ],
+          },
+        },
+      },
+    },
+    errors: [
+      {
+        message: 'Primärnycklar eller personligt identifierbar information (personnummer, etc.) BÖR INTE exponeras.',
+        severity: DiagnosticSeverity.Warning,
+      },
+    ],
+  },
+  {
+    name: 'giltigt testfall - Personnummer BÖR INTE förekomma i en resurs (path param) ',
+    document: {
+      openapi: '3.1.0',
+      info: { version: '1.0.0' },
+      paths: {
+        '/pets': {
+          get: {
+            parameters: [
+              {
+                name: 'title',
+                in: 'path',
+              },
+            ],
+          },
+        },
+      },
+    },
+    errors: [],
+  },
+]);

tests/res.test.ts

@@ -16,6 +16,7 @@ import * as AmeRules from '../../rulesets/AmeRules.ts';
 import * as ForRules from '../../rulesets/ForRules.ts';
 import * as DotRules from '../../rulesets/DotRules.ts';
 import * as FelRules from '../../rulesets/FelRules.ts';
+import * as ResRules from '../../rulesets/ResRules.ts';
 
 const ruleInstances: Record<string, any> = {};
 
@@ -80,6 +81,7 @@ const ruleTypes = [
   DokRules.Dok03License,
   DokRules.Dok03LicenseName,
   DokRules.Dok03LicenseUrl,
+  ResRules.Res02,
 ];
 ruleTypes.forEach((RuleClass) => {
   const instance = new RuleClass();