Checkov静态代码分析工具

Checkov 是一款基础设施即代码的静态代码分析工具。用于扫描基础设施即代码 (IaC) 文件以查找可能导致安全或合规性问题的错误配置。Checkov 包含 750 多个预定义策略来检查常见的错误配置问题。Checkov 还支持自定义策略的创建和贡献。

它对使用 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板配置的云基础设施进行扫描，并使用基于图形的扫描检测安全和合规性错误配置。

Checkov 还为 Bridgecrew 提供支持，这是一个以开发者为先的平台，在整个开发生命周期内编纂和简化云安全。Bridgecrew 可识别、修复和防止云资源和基础设施即代码文件中的错误配置。

特性：

• 1000多个内置策略涵盖了AWS、Azure和谷歌云的安全和合规性最佳实践。


• 扫描Terraform、Terraform Plan、CloudFormation、Kubernetes、Dockerfile、Serverless框架和ARM模板文件。


• 支持基于内存图扫描的上下文感知策略。


• 支持Python格式的属性策略和YAML格式的属性和复合策略。


• 检测EC2 Userdata、Lambda环境变量和Terraform提供者中的AWS凭证。


• 使用正则表达式、关键字和基于熵的检测来识别秘密。


• 评估Terraform提供商设置，以规范通过Terraform管理的IaaS、PaaS或SaaS的创建、管理和更新。


• 策略支持将变量评估为其可选的默认值。


• 支持在线抑制已接受的风险或假阳性，以减少重复的扫描失败。还支持使用CLI的全局跳过。


• 目前输出为CLI、CycloneDX、JSON、JUnit XML和github markdown，并链接到补救指南。