Checkov靜態(tài)代碼分析工具

Checkov 是一款基礎(chǔ)設(shè)施即代碼的靜態(tài)代碼分析工具。用于掃描基礎(chǔ)設(shè)施即代碼 (IaC) 文件以查找可能導(dǎo)致安全或合規(guī)性問題的錯誤配置。Checkov 包含 750 多個預(yù)定義策略來檢查常見的錯誤配置問題。Checkov 還支持自定義策略的創(chuàng)建和貢獻。

它對使用 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板配置的云基礎(chǔ)設(shè)施進行掃描，并使用基于圖形的掃描檢測安全和合規(guī)性錯誤配置。

Checkov 還為 Bridgecrew 提供支持，這是一個以開發(fā)者為先的平臺，在整個開發(fā)生命周期內(nèi)編纂和簡化云安全。Bridgecrew 可識別、修復(fù)和防止云資源和基礎(chǔ)設(shè)施即代碼文件中的錯誤配置。

特性：

• 1000多個內(nèi)置策略涵蓋了AWS、Azure和谷歌云的安全和合規(guī)性最佳實踐。
• 掃描Terraform、Terraform Plan、CloudFormation、Kubernetes、Dockerfile、Serverless框架和ARM模板文件。
• 支持基于內(nèi)存圖掃描的上下文感知策略。
• 支持Python格式的屬性策略和YAML格式的屬性和復(fù)合策略。
• 檢測EC2 Userdata、Lambda環(huán)境變量和Terraform提供者中的AWS憑證。
• 使用正則表達式、關(guān)鍵字和基于熵的檢測來識別秘密。
• 評估Terraform提供商設(shè)置，以規(guī)范通過Terraform管理的IaaS、PaaS或SaaS的創(chuàng)建、管理和更新。
• 策略支持將變量評估為其可選的默認值。
• 支持在線抑制已接受的風(fēng)險或假陽性，以減少重復(fù)的掃描失敗。還支持使用CLI的全局跳過。
• 目前輸出為CLI、CycloneDX、JSON、JUnit XML和github markdown，并鏈接到補救指南。