Photo by Matthew Henry on Unsplash
Configuration de Checkov sous Visual Studio Code
Une expérience de développeur « as-you-code » dans Visual Studio Code est maintenant disponible pour l'outil Checkov, faites le test avec moi 😍
Présentation rapide
Checkov est un outil écrit en Python, éditer par Bridgecrew, permettant de scanner le code de vos solution IaC (infrastructure as code). Il analyse le code généré par Terraform, CloudFormation et Kubernetes afin de détecter si les bonnes pratiques sont bien suivies, y compris lié à la sécurité. Il est un concurrent direct de TfSec d'Aqua Security ou encore de TerraScan de TerraSolid.
"Checkov scanne les configurations d'infrastructure cloud pour trouver des erreurs de configuration avant leur déploiement."
Fonctionnalités de l'outil
+ de 1000 politiques intégrées couvrant les bonnes pratiques de sécurité et de conformité pour AWS, Azure et Google Cloud.
Analyse de modèles Terraform, Terraform Plan, CloudFormation, Kubernetes, Helm, Serverless et ARM.
Détecte les informations d’identification AWS dans EC2 Userdata, les variables d’environnement Lambda et les fournisseurs Terraform.
Dans Terraform, les contrôles prennent en charge l’évaluation des arguments exprimés en variables et modules distants à leurs valeurs réelles.
Prend en charge la suppression en ligne via des commentaires.
Liens vers les descriptions de stratégies, les justifications ainsi que les instructions étape par étape pour corriger les erreurs de configuration connues.
Corrigez les suggestions pour les attributs Terraform et CloudFormation souvent mal configurés.
Installation de l'extension Checkov
Depuis le marketplace de Visual Studio recherchez l'extension en saisissant "Checkov" et installez celle venant de l'éditeur Bridgecrew, sinon suivez ce lien:
https://marketplace.visualstudio.com/items?itemName=Bridgecrew.checkov
Dépendences
- Python >= 3.7 ou Pipenv ou Docker en cours d'exécution
L'extension Checkov invoquera la dernière version de Checkov.
Configuration de l'extension
Pour fonctionner, vous devez créer un API Token sur le site de Bridgecrew.
Une fois connecté, cliquer sur "Integrations" (1) puis sur "API Token" (2), tel que:
Saisir un nom et une description :
Copier la clé fournie :
Maintenant ouvrez les settings de l'extension en utilisant le filtre suivant et copiez la clé précédente:
@ext:Bridgecrew.checkov Token
Validation de la configuration
Une fois la clé sauvegardé et une solution Terraform ouverte vous pourrez voir l'éxécution de Checkov dans le bas de votre éditeur:
Une fois, votre code scanné vous aurez la possibilité de visualiser l'aide proposé par Checkov directement sur les ressources, ici avec un exemple simple sur une Azure CosmosDB :
Celle-ci vous permettra d'accéder à la documentation associée à la résolution directement depuis VS Code:
Astuces
Vous pouvez ignorer les vérifications en ajoutant un commentaire dans votre fichier source:
checkov:skip=<check_id>:<suppression_comment>
Pour plus de détails, suivez le guide : Suppressing and Skipping Policies - checkov