有没有适用于terraform的静态代码分析工具?我尝试过tflint,但它不支持模块输出或资源属性。是否有其他建议?
Terrascan 是与 TFLint 相似的另一个静态分析工具。Terrascan 更加专注于 AWS 资源的安全检查。
Checkov 是另一个 Terraform 静态分析工具。它可以扫描多云资源的安全错误配置,并支持 terraform>=0.12。
terraform>=0.12
另外还有TFsec,它很不错。
我正在开发一款产品,可以轻松地尝试这些扫描工具,并帮助集成到您的CI/CD中,名为Soluble,以确定哪个扫描工具最适合您的环境。非常感谢您的反馈。
您也可以查看企业级解决方案(谷歌搜索即可找到),类似于Aquasec解决方案。我会创建一个比较表,列出优缺点,然后考虑最佳选择。