Checkov
Security-as-Code
Skan błędów konfiguracji w IaC i obrazach — policy-as-code w CI.
Checkov analizuje statycznie infrastrukturę jako kod (Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, ARM) i wykrywa błędy konfiguracji oraz naruszenia zasad bezpieczeństwa, zanim trafią na produkcję. Ma setki wbudowanych reguł, a własne polityki zapiszesz w Pythonie lub YAML — bezpieczeństwo staje się bramką w pipeline, nie ręcznym przeglądem.
Kiedy używać
- Skanujesz Terraform/Kubernetes pod kątem złych konfiguracji w CI.
- Chcesz egzekwować własne reguły zgodności (custom policies).
- Zależy Ci na szybkim feedbacku już na etapie PR.
Przykład użycia
checkov -d . # skan katalogu IaC
checkov -d . --compact --quiet # tylko naruszenia
# krok w Gitea Actions — twarda bramka
- run: checkov -d infra --soft-fail-on LOW
Warto wiedzieć
- Uzupełnia skan obrazów/zależności (Trivy) o warstwę polityk IaC.
- Alternatywy o podobnym zakresie: Terrascan, KICS.