tgoop.com/codeby_sec/9443
Create:
Last Update:
Last Update:
Checkov: Статический анализатор безопасности IaC
Checkov — фреймворк с открытым исходным кодом от компании Bridgecrew, предназначенный для сканирования облачной инфраструктуры, описанной в виде кода, на предмет наличия ошибок конфигурации. Он анализирует ваши шаблоны Terraform, CloudFormation, Kubernetes манифесты, конфигурации Helm и другие файлы IaC, проверяя их на соответствие сотням предопределенных политик. Эти политики основаны на практиках от облачных провайдеров (AWS, Azure, GCP) и стандартов безопасности (CIS Benchmarks).
- Находит уязвимости до того, как инфраструктура будет развернута, следуя принципу «Shift Left» в безопасности.
- Поддерживает все основные облачные платформы.
- Работает с Terraform, CloudFormation, Kubernetes, ARM Templates, Dockerfile и многими другими.
- Позволяет создавать собственные пользовательские политики на простом языке Python.
Самый быстрый способ — использовать менеджер пакетов pipх.
pipx install checkov
checkov -h
У вас есть директория с файлами Terraform (.tf). Просканируем ее:
checkov -d /path/to/your/terraform/code
Checkov рекурсивно просканирует все файлы в указанной директории, определит их тип и запустит соответствующие проверки.
Проверим конкретный файл, например, манифест Kubernetes:
checkov -f deployment.yaml
Сила Checkov раскрывается при его интеграции в конвейер непрерывной интеграции и доставки (CI/CD). Например, в GitHub Actions это можно сделать так:
name: "Security Scan"
on:
push:
branches: [ main ]
pull_request:
branches: [ main ]
jobs:
checkov:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v2
- name: Run Checkov
uses: bridgecrewio/checkov-action@master
with:
directory: .
framework: terraform #можно указать конкретный фреймворк
Это гарантирует, что каждый
Pull Request
будет автоматически проверен на соответствие стандартам безопасности.
