chore(rules): merge validation logic from main (from feature/356-sak15)

Signed-off-by: Fredrik Nordlander <fredrik.nordlander@digg.se>

Author: fredriknordlander

CONTRIBUTING.md

@@ -55,12 +55,25 @@ För att begära en ny funktion:
 För att bidra med kod, dokumentation eller andra förbättringar:
 
 1. Diskutera dina planer i förväg för att säkerställa att de stämmer överens med projektmålen.
-2. Kontrollera listan över öppna ärenden. Tilldela dig själv ett befintligt ärende eller skapa ett nytt.
-3. Följ projektkonventioner för tester, kodstil, dokumentation och commit-meddelanden.
-4. Förstå att bidrag kan avslås om de inte överensstämmer med projektets riktlinjer eller mål.
-5. Bekanta dig med [Pull Request-livscykeln](#pull-request-livscykel).
-6. Godkänn "inbound=outbound"-normen: dina bidrag kommer att vara under samma licens som projektet.
-7. [Signera dina commits](#dco---signoff-och-signering-av-en-commit).
+2. Kontrollera listan över öppna ärenden, saknas ett ärende för det tänkta bidraget skapar du ett nytt.
+3. Tilldela dig själv ett befintligt ärende genom att kommentera ärendet.
+4. Följ projektkonventioner för tester, kodstil, dokumentation och commit-meddelanden.
+5. Förstå att bidrag kan avslås om de inte överensstämmer med projektets riktlinjer eller mål.
+6. Bekanta dig med [Pull Request-livscykeln](#pull-request-livscykel).
+7. Godkänn "inbound=outbound"-normen: dina bidrag kommer att vara under samma licens som projektet.
+8. [Signera dina commits](#dco---signoff-och-signering-av-en-commit).
+
+Kom igång med "good first issues", de har en begränsad omfattning och en tänkt lösning som redan har diskuterats inom projektet. Lämpligt för nya utvecklare som vill bidra och få bättre förståelse för bidragsprocessen.
+
+Det finns också ärenden taggade med "ready to take", vilket är ärenden som redan har blivit åtminstone delvis lösta i diskussioner, så pass att det är tydligt vad som behöver göras härnäst.
+
+Självklart kan du arbeta med vilket annat ärende du vill – "good first" och "ready to take" ärenden är bara de där omfattning och tidsram ofta är tydligare definierade. Pull requests för andra ärenden, eller helt nya problem, kan ta lite längre tid att granska om de inte passar in i vår nuvarande utvecklingscykel och det finns en risk att någon i teamet redan arbetar på ärendet.
+
+Om du bestämmer dig för att lösa ett ärende, se till att kolla kommentarsfältet för att se om någon redan arbetar på en lösning. Om ingen gör det just nu, lämna gärna en kommentar där du skriver att du har börjat arbeta med det, så att andra inte råkar göra samma jobb.
+
+Om någon har tagit på sig ett ärende men inte följer upp inom en vecka, går det bra att ta över – men lämna ändå en kommentar. Om det inte har varit någon aktivitet på ärendet på 7 till 14 dagar är det rimligt att anta att ingen jobbar på det.
+
+
 
 ## Återkoppling på ärenden och Pull Requests
 

GUIDELINES.md

@@ -75,6 +75,7 @@ Detta dokument specificerar reglerna som verktyget tillämpar.
 9. [Område: Säkerhet](#område-säkerhet)
    - [ID: SAK.09](#id-sak09)
    - [ID: SAK.10](#id-sak10)
+   - [ID: SAK.15](#id-sak15)
    - [ID: SAK.18](#id-sak18)
 10. [Område: Förutsättningar](#område-förutsättningar)
 - [ID: FOR.02](#id-for02)
@@ -943,7 +944,7 @@ I exemplet ovan, så exemplifieras regeln med en kontroll av de query parametrar
 
 ## Område: Säkerhet
 
-**Täckningsgrad: 9%**
+**Täckningsgrad: 11%**
 
 ### ID: SAK.09
 
@@ -991,6 +992,29 @@ I exemplet ovan så kommer regeln att ge ett positivt utfall eftersom det finns
 
 ---
 
+### ID: SAK.15
+
+**Krav:** API-nycklar SKALL INTE inkluderas i URL eller querysträngen.
+
+**Typ:** SKALL
+
+**JSON Path Plus-uttryck:**
+
+```
+$.components.securitySchemes[?(@ && @.type=='apiKey')]
+```
+
+**Förklaring:**
+Regeln kontrollerar, under förutsättning att ett security scheme är definierat, att om typen är 'apiKey', så får värdet för parametern 'in' inte vara 'query.
+
+**Exempel:**
+
+![alt text](images/sak15.png)
+
+I exemplet ovan ger regeln ett negativt utfall, eftersom det definierade säkerhetsschemat 'ApiKeyQuery' har typen 'apiKey' och parametern 'in' är satt till 'query', vilket strider mot regeln.
+
+---
+
 ### ID: SAK.18
 
 **Krav:** OAuth version 2.0 eller senare BÖR användas för auktorisation.

README.md

@@ -256,7 +256,7 @@ Om du har frågor, funderingar, buggrapporter etc, vänligen kontakta [Digg - Ag
 
 ## Bidra
 
-Om du vill bidra till projektet, vänligen följ instruktionerna i avsnittet [Contributing](CONTRIBUTING).
+Om du vill bidra till projektet, vänligen följ instruktionerna i avsnittet [Contributing](CONTRIBUTING.md).
 
 ## Utveckling
 

REUSE.toml

@@ -50,6 +50,7 @@ path = [
     "images/rest-api-profil.png",
     "images/sak09.png",
     "images/sak10.png",
+    "images/sak15.png",
     "images/sak18.png",
     "images/ufn1-2.png",
     "images/ufn1.png",

apis/sak-api.yaml

@@ -115,6 +115,13 @@ components:
           scopes:
             write:pets: modify pets in your account
             read:pets: read your pets
+    #Test for invalid types in security schemes
+    ApiKeyQuery: 
+      type: apiKey
+      in: query
+      name: api_key
+
+
   schemas:
     Error:
       type: object