alpine/cfn-nag

CloudFormation模板Linting工具镜像

镜像概述

该镜像基于cfn-nag项目构建，是用于AWS CloudFormation模板的Linting工具，可自动检查模板中的安全问题和最佳实践违规。当cfn-nag项目发布新版本时，会自动触发Docker镜像构建，确保镜像版本与上游项目同步。

核心功能与特性

• 自动构建：上游项目发布新版本时自动触发Docker镜像构建
• 轻量级：基于Alpine系统，镜像体积小
• 本地挂载支持：可挂载本地目录运行，方便处理本地模板文件
• 详细输出：提供分级（WARN/FAIL）的检查结果，包含资源名称、行号及具体问题描述
• 命令行友好：支持作为命令别名使用，简化日常调用

使用场景

• CI/CD流程中集成，在模板部署前自动检查安全性
• 开发环境中本地验证CloudFormation模板
• 自动化构建部署流程中的模板合规性检查

使用方法

基本使用（挂载本地目录）

通过docker run命令挂载本地目录，对当前目录下的模板进行检查：

bash
docker run -ti --rm -v $(pwd):/apps -w /apps alpine/cfn-nag --input-path .

• -v $(pwd):/apps：将当前目录挂载到容器内的/apps目录
• -w /apps：设置工作目录为/apps（即挂载的本地目录）
• --input-path .：指定检查当前目录下的模板文件

作为命令使用

设置别名简化调用，将容器作为本地命令使用：

bash
alias cfn_nag_scan="docker run -ti --rm -v $(pwd):/apps -w /apps alpine/cfn-nag"
cfn_nag_scan --help  # 查看帮助信息
cfn_nag_scan --input-path ./templates  # 检查指定目录下的模板

示例输出

检查后会输出分级的检查结果，示例如下：

--------
| WARN W47
|
| Resources: ["SNSAllConfigurationTopic", "SNSNotification"]
| Line Numbers: [45, 76]
|
| SNS Topic should specify KmsMasterKeyId property
------------------------------------------------------------
| FAIL F5
|
| Resources: ["AdditionalManagedIAMPolicy"]
| Line Numbers: [42]
|
| IAM managed policy should not allow * action
------------------------------------------------------------

参考信息

镜像相关链接

• GitHub仓库：https://github.com/alpine-docker/cfn-nag
• Travis CI每日构建日志：[***]
• Docker镜像标签：https://hub.docker.com/r/alpine/cfn-nag/tags/

注意事项

• latest标签对应上游项目的最新发布版本（https://github.com/cfn-nag/cfn-nag/releases/latest%EF%BC%89
• 生产环境建议使用具体版本标签（如alpine/cfn-nag:0.5.33），避免latest标签带来的版本不确定性

扩展参考

• cfn-nag项目官方文档：[***]