TFsec是一个专门针对Terraform代码的安全扫描工具,该工具能够对Terraform模板执行静态扫描分析,并检查出潜在的安全问题,当前版本的TFsec支持Terraform v0.12+版本。
检查所有提供的程序中是否包含敏感数据;
检查目标代码是否违反了AWS、Azure和GCP安全更佳实践建议;
扫描功能模块(目前只支持本地模块);
计算表达式和值;
评估Terraform的功能函数,比如说concat()等等;
广大研究人员可以使用下列实用工具来安装TFsec。
brew install tfsec
choco install tfsec
除此之外,我们还可以直接访问该项目GitHub库的【Releases页面】来下载针对自己系统平台的工具源码。
go get -u github.com/tfsec/tfsec/cmd/tfsec
TFsec可以扫描指定的目录,如果没有指定需要扫描的目录,那么TFsec将扫描当前所在的工作目录。如果TFsec发现了安全问题,则退出状态将为非零,否则退出状态将为零:
tfsec .
如果你不想在你的系统中安装和运行TFsec的话,你还可以选择在一个Docker容器中运行TFsec:
docker run --rm -it -v "$(pwd):/src" liamg/tfsec /src
在某些情况下,我们可能需要在运行过程中排除某些检测,我们可以通过添加新的参数来运行我们的cmd命令,比如说-e CHECK1,CHECK2等等:
tfsec . -e GEN001,GCP001,GCP002
我们还可以在扫描中从一个tfvars文件中获取值,比如说:
--tfvars-file terraform.tfvars
TFsec可以在一个CI观到中运行,如果检测到了潜在的安全问题,该工具将会以非零退出码退出运行。如果你不想要输出有颜色高亮显示的话,还可以使用下列参数:
--no-colour
TFsec的输出格式支持 *** ON、CSV、Checkstyle、Sarif、JUnit以及其他人类可读的数据格式,我们可以使用--format参数来进行指定。
如果你想整合GitHub安全警报的话,我们还可以使用tfsec-sarif-actionGitHub Action来运行静态分析,并将分析结果上传至GitHub安全警报标签中:
TFsec:【GitHub传送门】
黑客盗微信密码软件(黑客找回微信密码)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客...
做为淘宝商家都凭着本身的十八般武艺,想为店面获得到服务平台上大量的流量,而现如今的淘宝直播间版块是商家失之千里的总流量重地,由于如今淘宝网店的总流量绝大多数也来自于此服务平台,因此 商家客户可否启...
本文导读目录: 1、电视剧女特警里面扮演李婷的是谁? 2、找一部动画片少儿频道(好像是银河剧场)播过的 3、小时候看过一个动画片 是科幻的 里面一个小孩男主角好像叫鲁鲁 有一个摩托 特厉害 有...
. 很多父母无法将带娃和上班同时做好,一方面培养孩子就得努力工作赚钱,一方面就损失了陪伴孩子的时间,将带娃和上班工作平衡非常重要,那么带娃和上班怎么平衡?下面友谊长存带来介绍。 带娃和上班的平衡方...
本文导读目录: 1、微信小程序会被黑客攻击吗? 2、黑客能攻击网赌网站吗 3、手机里的木马病毒真的能攻击支付宝、微信和中国银行等软件吗?造成财产安全?网络专家请回答 4、我举报了一个微信的...
法国签证一般拒签原因很复杂,对于法国签证一般拒签原因这个问题说什么的都有,这让许多准备申请法国签证的申请者感到十分困惑,不知道到底该在哪些方面注意点什么才可以避免被拒签。下面几点由那30多年专注法国签...