Checkov静态代码分析工具

联合创作 · 2023-10-02 02:38

Checkov 是一款基础设施即代码的静态代码分析工具。用于扫描基础设施即代码 (IaC) 文件以查找可能导致安全或合规性问题的错误配置。Checkov 包含 750 多个预定义策略来检查常见的错误配置问题。Checkov 还支持自定义策略的创建和贡献。

它对使用 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板配置的云基础设施进行扫描,并使用基于图形的扫描检测安全和合规性错误配置。

Checkov 还为 Bridgecrew 提供支持,这是一个以开发者为先的平台,在整个开发生命周期内编纂和简化云安全。Bridgecrew 可识别、修复和防止云资源和基础设施即代码文件中的错误配置。

特性:

  • 1000多个内置策略涵盖了AWS、Azure和谷歌云的安全和合规性最佳实践。
  • 扫描Terraform、Terraform Plan、CloudFormation、Kubernetes、Dockerfile、Serverless框架和ARM模板文件。
  • 支持基于内存图扫描的上下文感知策略。
  • 支持Python格式的属性策略和YAML格式的属性和复合策略。
  • 检测EC2 Userdata、Lambda环境变量和Terraform提供者中的AWS凭证。
  • 使用正则表达式、关键字和基于熵的检测来识别秘密。
  • 评估Terraform提供商设置,以规范通过Terraform管理的IaaS、PaaS或SaaS的创建、管理和更新。
  • 策略支持将变量评估为其可选的默认值。
  • 支持在线抑制已接受的风险或假阳性,以减少重复的扫描失败。还支持使用CLI的全局跳过。
  • 目前输出为CLI、CycloneDX、JSON、JUnit XML和github markdown,并链接到补救指南。

浏览 9
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报