Checkov

静态代码分析工具
授权协议 Apache-2.0
开发语言 Python
所属分类 开发工具、 代码管理分析/审查/优化
软件类型 开源软件
地区 不详
投 递 者 澹台阳秋
操作系统 跨平台
开源组织
适用人群 未知
 软件概览

Checkov 是一款基础设施即代码的静态代码分析工具。用于扫描基础设施即代码 (IaC) 文件以查找可能导致安全或合规性问题的错误配置。Checkov 包含 750 多个预定义策略来检查常见的错误配置问题。Checkov 还支持自定义策略的创建和贡献。

它对使用 Terraform、Terraform plan、Cloudformation、Kubernetes、Dockerfile、Serverless 或 ARM 模板配置的云基础设施进行扫描,并使用基于图形的扫描检测安全和合规性错误配置。

Checkov 还为 Bridgecrew 提供支持,这是一个以开发者为先的平台,在整个开发生命周期内编纂和简化云安全。Bridgecrew 可识别、修复和防止云资源和基础设施即代码文件中的错误配置。

特性:

  • 1000多个内置策略涵盖了AWS、Azure和谷歌云的安全和合规性最佳实践。
  • 扫描Terraform、Terraform Plan、CloudFormation、Kubernetes、Dockerfile、Serverless框架和ARM模板文件。
  • 支持基于内存图扫描的上下文感知策略。
  • 支持Python格式的属性策略和YAML格式的属性和复合策略。
  • 检测EC2 Userdata、Lambda环境变量和Terraform提供者中的AWS凭证。
  • 使用正则表达式、关键字和基于熵的检测来识别秘密。
  • 评估Terraform提供商设置,以规范通过Terraform管理的IaaS、PaaS或SaaS的创建、管理和更新。
  • 策略支持将变量评估为其可选的默认值。
  • 支持在线抑制已接受的风险或假阳性,以减少重复的扫描失败。还支持使用CLI的全局跳过。
  • 目前输出为CLI、CycloneDX、JSON、JUnit XML和github markdown,并链接到补救指南。

 相关资料
  • 代码静态分析可以在不运行代码的情况下,提前检测代码。 主要可以做两点 语法检测 编码规范检测 作为开发人员,在日常编码中,难免会范一些低级错误,比如少个括号,少个逗号,使用了未定义变量等等,我们往往会使用编辑器的 lint 插件来检测此类错误。 对于我们 OpenResty 开发中,日常开发的都是 Lua 代码,所以我们可以使用 luacheck 这款静态代码检测工具来帮助我们检查,比较好的一点是

  • 我想知道是否有一个工具,它将我的代码库和一个jar文件作为输入,它将在代码库中搜索这个jar文件正在使用的任何地方,并给我输出。不应使用Eclispe IDE。(变得微不足道)。我已经搜索了一些静态代码分析工具,如PMD、Checkstyle、findbugs。但他们都没有我需要的选择。你能给我推荐一个能完成上述任务的工具吗?

  • 问题内容: 是否有用于PHP源文件的静态分析工具?二进制本身可以检查语法错误,但是我正在寻找功能更多的东西,例如: 未使用的变量分配 未先初始化就分配给的数组 以及可能的代码样式警告 … 问题答案: 从命令行以lint-mode运行php来验证语法而不执行: 更高级别的静态分析器包括: php-sat - Requires http://strategoxt.org/ PHP_Depend PHP

  • 问题内容: 熟悉Java世界的我一直在寻找一种静态分析工具,该工具也足够智能,可以解决它发现的问题。我使用CodePro工具运行,但是我还是Java社区的新手,不知道供应商。 根据上述标准,您可以推荐哪种工具? 问题答案: FindBugs,PMD和Checkstyle都是绝佳的选择,尤其是将它们集成到构建过程中时。 在上一家公司,我们还使用Fortify检查潜在的安全问题。我们很幸运获得了企业许

  • 本文向大家介绍Java动态代理静态代理实例分析,包括了Java动态代理静态代理实例分析的使用技巧和注意事项,需要的朋友参考一下 代理模式:为其他对象提供一种代理以控制某个对象的访问。用在:在某些情况下,一个客户不想或者不能直接访问另一个对象,而代理对象可以在客户端和目标对象之前起到中介的作用,代理对象还可以完成它附加的操作。 例子:就像房东、租客、中介的关系。中介(代理对象)为房东(真实对象)出租

  • 代码静态检查 我们在代码静态检查中,使用 SonarQube 进行我们的代码质量管理。SonarQube 是一个开源的代码质量管理系统,它可以通过使用插件机制与 IDEA 、Maven 等其他外部工具集成,从而实现了对代码的质量的全面自动化分析和管理。