← Katalog
E I A C

Checkov

Security-as-Code

Skan błędów konfiguracji w IaC i obrazach — policy-as-code w CI.

★ 8800 Apache-2.0 #security#iac#scanning#policy

Checkov analizuje statycznie infrastrukturę jako kod (Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, ARM) i wykrywa błędy konfiguracji oraz naruszenia zasad bezpieczeństwa, zanim trafią na produkcję. Ma setki wbudowanych reguł, a własne polityki zapiszesz w Pythonie lub YAML — bezpieczeństwo staje się bramką w pipeline, nie ręcznym przeglądem.

Kiedy używać

  • Skanujesz Terraform/Kubernetes pod kątem złych konfiguracji w CI.
  • Chcesz egzekwować własne reguły zgodności (custom policies).
  • Zależy Ci na szybkim feedbacku już na etapie PR.

Przykład użycia

checkov -d .                       # skan katalogu IaC
checkov -d . --compact --quiet     # tylko naruszenia
# krok w Gitea Actions — twarda bramka
- run: checkov -d infra --soft-fail-on LOW

Warto wiedzieć

  • Uzupełnia skan obrazów/zależności (Trivy) o warstwę polityk IaC.
  • Alternatywy o podobnym zakresie: Terrascan, KICS.