您好,登錄后才能下訂單哦!
這篇文章將為大家詳細(xì)講解有關(guān)怎樣使用TFsec來(lái)對(duì)你的Terraform代碼進(jìn)行安全掃描,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。
TFsec是一個(gè)專門針對(duì)Terraform代碼的安全掃描工具,該工具能夠?qū)erraform模板執(zhí)行靜態(tài)掃描分析,并檢查出潛在的安全問(wèn)題,當(dāng)前版本的TFsec支持Terraform v0.12+版本。
檢查所有提供的程序中是否包含敏感數(shù)據(jù);
檢查目標(biāo)代碼是否違反了AWS、Azure和GCP安全最佳實(shí)踐建議;
掃描功能模塊(目前只支持本地模塊);
計(jì)算表達(dá)式和值;
評(píng)估Terraform的功能函數(shù),比如說(shuō)concat()等等;
廣大研究人員可以使用下列實(shí)用工具來(lái)安裝TFsec。
brew install tfsec
choco install tfsec
除此之外,我們還可以直接訪問(wèn)該項(xiàng)目GitHub庫(kù)的【Releases頁(yè)面】來(lái)下載針對(duì)自己系統(tǒng)平臺(tái)的工具源碼。
go get -u github.com/tfsec/tfsec/cmd/tfsec
TFsec可以掃描指定的目錄,如果沒(méi)有指定需要掃描的目錄,那么TFsec將掃描當(dāng)前所在的工作目錄。如果TFsec發(fā)現(xiàn)了安全問(wèn)題,則退出狀態(tài)將為非零,否則退出狀態(tài)將為零:
tfsec .
如果你不想在你的系統(tǒng)中安裝和運(yùn)行TFsec的話,你還可以選擇在一個(gè)Docker容器中運(yùn)行TFsec:
docker run --rm -it -v "$(pwd):/src" liamg/tfsec /src
在某些情況下,我們可能需要在運(yùn)行過(guò)程中排除某些檢測(cè),我們可以通過(guò)添加新的參數(shù)來(lái)運(yùn)行我們的cmd命令,比如說(shuō)-e CHECK1,CHECK2等等:
tfsec . -e GEN001,GCP001,GCP002
我們還可以在掃描中從一個(gè)tfvars文件中獲取值,比如說(shuō):
--tfvars-file terraform.tfvars
TFsec可以在一個(gè)CI觀到中運(yùn)行,如果檢測(cè)到了潛在的安全問(wèn)題,該工具將會(huì)以非零退出碼退出運(yùn)行。如果你不想要輸出有顏色高亮顯示的話,還可以使用下列參數(shù):
--no-colour
TFsec的輸出格式支持 JSON、CSV、Checkstyle、Sarif、JUnit以及其他人類可讀的數(shù)據(jù)格式,我們可以使用--format參數(shù)來(lái)進(jìn)行指定。
如果你想整合GitHub安全警報(bào)的話,我們還可以使用tfsec-sarif-actionGitHub Action來(lái)運(yùn)行靜態(tài)分析,并將分析結(jié)果上傳至GitHub安全警報(bào)標(biāo)簽中:
關(guān)于怎樣使用TFsec來(lái)對(duì)你的Terraform代碼進(jìn)行安全掃描就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。