怎樣使用TFsec來(lái)對(duì)你的Terraform代碼進(jìn)行安全掃描

這篇文章將為大家詳細(xì)講解有關(guān)怎樣使用TFsec來(lái)對(duì)你的Terraform代碼進(jìn)行安全掃描，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

TFsec

TFsec是一個(gè)專門針對(duì)Terraform代碼的安全掃描工具，該工具能夠?qū)erraform模板執(zhí)行靜態(tài)掃描分析，并檢查出潛在的安全問(wèn)題，當(dāng)前版本的TFsec支持Terraform v0.12+版本。

功能介紹

檢查所有提供的程序中是否包含敏感數(shù)據(jù)；

檢查目標(biāo)代碼是否違反了AWS、Azure和GCP安全最佳實(shí)踐建議；

掃描功能模塊（目前只支持本地模塊）；

計(jì)算表達(dá)式和值；

評(píng)估Terraform的功能函數(shù)，比如說(shuō)concat()等等；

工具安裝

廣大研究人員可以使用下列實(shí)用工具來(lái)安裝TFsec。

使用Brew或Linuxbrew安裝：

brew install tfsec

使用Chocolatey安裝：

choco install tfsec

除此之外，我們還可以直接訪問(wèn)該項(xiàng)目GitHub庫(kù)的【Releases頁(yè)面】來(lái)下載針對(duì)自己系統(tǒng)平臺(tái)的工具源碼。

當(dāng)然了，我們也可以使用go get來(lái)安裝該工具：

go get -u github.com/tfsec/tfsec/cmd/tfsec

工具使用

TFsec可以掃描指定的目錄，如果沒(méi)有指定需要掃描的目錄，那么TFsec將掃描當(dāng)前所在的工作目錄。如果TFsec發(fā)現(xiàn)了安全問(wèn)題，則退出狀態(tài)將為非零，否則退出狀態(tài)將為零：

tfsec .

Docker使用

如果你不想在你的系統(tǒng)中安裝和運(yùn)行TFsec的話，你還可以選擇在一個(gè)Docker容器中運(yùn)行TFsec：

docker run --rm -it -v "$(pwd):/src" liamg/tfsec /src

禁用檢測(cè)

在某些情況下，我們可能需要在運(yùn)行過(guò)程中排除某些檢測(cè)，我們可以通過(guò)添加新的參數(shù)來(lái)運(yùn)行我們的cmd命令，比如說(shuō)-e CHECK1,CHECK2等等：

tfsec . -e GEN001,GCP001,GCP002

從.tfvars獲取值

我們還可以在掃描中從一個(gè)tfvars文件中獲取值，比如說(shuō)：

--tfvars-file terraform.tfvars

在CI中運(yùn)行

TFsec可以在一個(gè)CI觀到中運(yùn)行，如果檢測(cè)到了潛在的安全問(wèn)題，該工具將會(huì)以非零退出碼退出運(yùn)行。如果你不想要輸出有顏色高亮顯示的話，還可以使用下列參數(shù)：

--no-colour

輸出選項(xiàng)

TFsec的輸出格式支持 JSON、CSV、Checkstyle、Sarif、JUnit以及其他人類可讀的數(shù)據(jù)格式，我們可以使用--format參數(shù)來(lái)進(jìn)行指定。

GitHub安全警報(bào)

如果你想整合GitHub安全警報(bào)的話，我們還可以使用tfsec-sarif-actionGitHub Action來(lái)運(yùn)行靜態(tài)分析，并將分析結(jié)果上傳至GitHub安全警報(bào)標(biāo)簽中：

工具運(yùn)行截圖

關(guān)于怎樣使用TFsec來(lái)對(duì)你的Terraform代碼進(jìn)行安全掃描就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。