checkov
Overview
checkov est un scanner d'analyse statique de sécurité pour l'Infrastructure as Code, développé par Bridgecrew (acquise par Palo Alto Networks). Il analyse les fichiers de configuration IaC (Terraform, CloudFormation, Kubernetes, Dockerfile, etc.) pour détecter des problèmes de sécurité et de conformité avant le déploiement.
checkov vérifie automatiquement les configurations contre des centaines de politiques de sécurité prédéfinies, couvrant les meilleures pratiques cloud (CIS benchmarks, AWS Well-Architected Framework, etc.) et les risques de sécurité courants.
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://www.checkov.io/ |
| Licence | Apache 2.0 |
| Nationalité | International (développé par Bridgecrew/Palo Alto Networks) |
| Type | Scanner de sécurité pour Infrastructure as Code |
| Déploiement | CLI, CI/CD, intégration dans pipelines |
| Difficulté | Débutant à intermédiaire |
| Technologies | Python, analyse statique, politiques de sécurité |
TL;DR
checkov est idéal si tu veux analyser automatiquement tes fichiers IaC pour détecter des problèmes de sécurité et de conformité avant le déploiement. Il convient à l'intégration dans des pipelines CI/CD pour bloquer les déploiements non conformes et améliorer la sécurité de l'infrastructure. L'outil supporte de nombreux formats IaC et offre une grande bibliothèque de politiques. En contrepartie, le nombre élevé de résultats peut nécessiter du tuning, et certaines politiques peuvent générer des faux positifs. La configuration peut être nécessaire pour adapter les politiques à ton contexte.
Compatibilité et intégrations
- Formats IaC : Terraform, CloudFormation, Kubernetes, Dockerfile, ARM, Ansible, etc.
- Intégration CI/CD : GitHub Actions, GitLab CI, Jenkins, CircleCI, etc.
- Écosystème : bibliothèque de politiques extensible
- Politiques : CIS benchmarks, AWS Well-Architected, PCI-DSS, etc.
- Reporting : sortie JSON, JUnit XML, SARIF, etc.
Avantages
- Scanner multi-formats IaC
- Grande bibliothèque de politiques de sécurité
- Intégration facile dans les pipelines CI/CD
- Détection précoce des problèmes de sécurité
- Politiques personnalisables
- Reporting détaillé
Limites
- Peut générer de nombreux résultats nécessitant du tri
- Certains faux positifs possibles
- Configuration nécessaire pour adapter les politiques
- Performance peut être lente sur de très gros projets
- Documentation peut être améliorée pour certains cas d'usage
Ressources
- Site officiel : https://www.checkov.io/
- Documentation : https://www.checkov.io/2.Basics/
- Repository GitHub : https://github.com/bridgecrewio/checkov
- Politiques disponibles : https://www.checkov.io/5.Policy%20Index/