logo标签列表

用于 Terraform 的静态代码分析工具

static-analysisterraform
9

有没有适用于terraform的静态代码分析工具?我尝试过tflint,但它不支持模块输出或资源属性。是否有其他建议?

你希望从静态分析中得到什么? - ydaetskcoR
1
https://blog.christophetd.fr/shifting-cloud-security-left-scanning-infrastructure-as-code-for-security-issues/#Comparison - Pat Myron
4个回答
5

Terrascan 是与 TFLint 相似的另一个静态分析工具。Terrascan 更加专注于 AWS 资源的安全检查。

4

Checkov 是另一个 Terraform 静态分析工具。它可以扫描多云资源的安全错误配置,并支持 terraform>=0.12

2

另外还有TFsec,它很不错。

我正在开发一款产品,可以轻松地尝试这些扫描工具,并帮助集成到您的CI/CD中,名为Soluble,以确定哪个扫描工具最适合您的环境。非常感谢您的反馈。

-2

您也可以查看企业级解决方案(谷歌搜索即可找到),类似于Aquasec解决方案。我会创建一个比较表,列出优缺点,然后考虑最佳选择。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接