Checkov静态代码分析工具
Checkov 是一款基础设施即代码的静态代码分析工具。用于扫描基础设施即代码 (IaC) 文件以查找可能导致安全或合规性问题的错误配置。Checkov 包含 750 多个预定义策略来检查常见的错误配置问题。Checkov 还支持自定义策略的创建和贡献。
它对使用 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板配置的云基础设施进行扫描,并使用基于图形的扫描检测安全和合规性错误配置。
Checkov 还为 Bridgecrew 提供支持,这是一个以开发者为先的平台,在整个开发生命周期内编纂和简化云安全。Bridgecrew 可识别、修复和防止云资源和基础设施即代码文件中的错误配置。
特性:
- 1000多个内置策略涵盖了AWS、Azure和谷歌云的安全和合规性最佳实践。
- 扫描Terraform、Terraform Plan、CloudFormation、Kubernetes、Dockerfile、Serverless框架和ARM模板文件。
- 支持基于内存图扫描的上下文感知策略。
- 支持Python格式的属性策略和YAML格式的属性和复合策略。
- 检测EC2 Userdata、Lambda环境变量和Terraform提供者中的AWS凭证。
- 使用正则表达式、关键字和基于熵的检测来识别秘密。
- 评估Terraform提供商设置,以规范通过Terraform管理的IaaS、PaaS或SaaS的创建、管理和更新。
- 策略支持将变量评估为其可选的默认值。
- 支持在线抑制已接受的风险或假阳性,以减少重复的扫描失败。还支持使用CLI的全局跳过。
- 目前输出为CLI、CycloneDX、JSON、JUnit XML和github markdown,并链接到补救指南。
评论