Terraform的静态分析及问题

迪鲁宾
172 阅读1分钟

如果你正在使用Terraform来管理你的基础设施,DeepSource可以帮助你有效地编写Terraform文件,避免出现安全问题。

DeepSource现在支持对Terraform文件进行持续的静态分析,检测30多个安全问题。

使用Terraform分析器

要开始分析你的Terraform文件,只需在你的.deepsource.toml 文件中启用terraform 分析器,你就可以开始了。

默认情况下,DeepSource会分析所有以.tf 结尾的Terraform文件。

配置样本

version = 1

[[analyzers]]
name = "terraform"
enabled = true

查看文档以了解更多细节。

Terraform分析器检测到的问题

在写这篇文章的时候,分析器在你的Terraform 文件中检测到了30多个安全问题,除了一般的问题外,还包括AWSAZUREGCP 的具体问题。下面是其中的一些问题,给你一个概念。

一般安全问题:

  • 潜在的敏感数据存储在block attribute
  • 潜在的敏感数据存储在default 的变量值中

AWS的具体安全问题:

  • ACL 定义为 ,允许公众访问S3 Bucket
  • 负载平衡器使用过时的SSL 策略

GCP特定的安全问题:

  • 使用传统的ABAC 权限
  • 使用未加密的存储桶

AZURE具体的安全问题:

  • 使用密码认证而不是SSH 密钥
  • 一个入站的网络安全规则允许流量来自/0
avatar
文章
阅读
粉丝