本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
checkov Docker 镜像下载 - 轩辕镜像
checkov 镜像详细信息和使用指南
checkov 镜像标签列表和版本信息
checkov 镜像拉取命令和加速下载
checkov 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
bridgecrew/checkov
checkov 镜像详细信息
checkov 镜像标签列表
checkov 镜像使用说明
checkov 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
基础设施即代码静态分析工具,用于在构建时防止云配置错误
10 收藏0 次下载activebridgecrew镜像
checkov 镜像详细说明
checkov 使用指南
checkov 配置说明
checkov 官方文档
Checkov Docker镜像文档
!checkov
的静态代码分析工具。它扫描使用各种IaC工具 provisioned 的云基础设施,并通过基于图形的扫描检测安全和合规性配置错误。
主要用途:在构建时防止云配置错误,确保基础设施即代码的安全性和合规性。
核心功能和特性
- 多平台支持:扫描Terraform、Terraform计划、CloudFormation、AWS SAM、Kubernetes、Helm图表、Kustomize、Dockerfile、Serverless框架或ARM模板
- 丰富的策略库:超过1000个内置策略,涵盖AWS、Azure和Google Cloud的安全和合规最佳实践
- 上下文感知策略:基于内存图形扫描的上下文感知策略支持
- 凭证检测:检测EC2 Userdata、Lambda环境变量和Terraform提供程序中的AWS凭证
- 密钥识别:使用正则表达式、关键字和基于熵的检测识别密钥
- 变量评估:支持将变量评估为其可选默认值
- 灵活的检查控制:支持内联抑制已接受风险或误报,减少重复扫描失败;也支持通过CLI进行全局跳过
- 多种输出格式:目前支持CLI、CycloneDX、JSON、JUnit XML和GitHub Markdown格式输出,并链接到修复指南
使用场景和适用范围
Checkov适用于以下场景:
- 开发流程集成:作为CI/CD管道的一部分,在基础设施代码提交或部署前进行安全扫描
- 代码审查辅助:在代码审查过程中自动检测基础设施配置问题
- 合规性审计:验证基础设施是否符合内部安全策略和行业合规标准
- 安全开发生命周期:在开发早期识别并修复安全问题,减少生产环境中的安全漏洞
- 多团队协作:确保不同团队使用一致的安全标准配置基础设施
适用范围包括使用基础设施即代码工具管理云资源的团队和组织,特别是那些使用AWS、Azure或Google Cloud的团队。
详细的使用方法和配置说明
基本要求
- Python >= 3.7(数据类适用于Python 3.7+)
- Terraform >= 0.12(如使用Terraform扫描)
Docker镜像使用方法
拉取镜像
bashdocker pull bridgecrew/checkov
基本扫描命令
bashdocker run --tty --volume /path/to/your/iac/code:/tf --workdir /tf bridgecrew/checkov --directory /tf
参数说明:
--tty:启用终端模式,提供更好的输出格式--volume /path/to/your/iac/code:/tf:将本地IaC代码目录挂载到容器内的/tf目录--workdir /tf:可选,将工作目录更改为挂载的卷(如果使用SARIF输出,结果文件将输出到挂载卷)--directory /tf:指定要扫描的目录
扫描特定文件
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov --file /tf/example.tf
扫描多个文件
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -f /tf/example1.yml -f /tf/example2.yml
扫描Terraform计划文件
bash# 首先在本地生成Terraform计划文件 terraform init terraform plan -out tf.plan terraform show -json tf.plan > tf.json # 然后使用Checkov扫描生成的JSON文件 docker run --tty --volume /path/to/your/terraform/code:/tf bridgecrew/checkov -f /tf/tf.json
高级配置选项
运行或跳过特定检查
列出可用检查:
bashdocker run --tty bridgecrew/checkov --list
仅运行指定检查:
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov --directory /tf --check CKV_AWS_20,CKV_AWS_57
运行除指定检查外的所有检查:
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf --skip-check CKV_AWS_20
运行除指定模式检查外的所有检查:
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf --skip-check CKV_AWS*
跳过命名空间(Kubernetes)
bashdocker run --tty --volume /path/to/your/k8s/code:/tf bridgecrew/checkov -d /tf --skip-check kube-system
输出格式配置
JSON格式输出:
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf -o json
JUnit XML格式输出:
bashdocker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf -o junitxml > results.xml
SARIF格式输出(适用于GitHub代码扫描):
bashdocker run --tty --volume /path/to/your/iac/code:/tf --workdir /tf bridgecrew/checkov -d /tf -o sarif
配置文件使用
Checkov可以使用YAML配置文件进行配置。默认情况下,Checkov会按以下优先级顺序查找.checkov.yaml或.checkov.yml文件:
- 运行checkov的目录(
--directory指定的目录) - 调用checkov的当前工作目录
- 用户的主目录
可以通过命令行参数指定配置文件路径:
bashdocker run --tty --volume /path/to/your/iac/code:/tf --volume /path/to/your/config/.checkov.yaml:/checkov.yaml bridgecrew/checkov --directory /tf --config-file /checkov.yaml
环境变量配置
LOG_LEVEL:设置日志级别,默认为WARNING,可设置为DEBUG获取详细日志IGNORE_HIDDEN_DIRECTORY_ENV:设置为false可取消跳过以.开头的目录CKV_IGNORED_DIRECTORIES:覆盖默认跳过的目录列表
示例:
bashdocker run --tty --env LOG_LEVEL=DEBUG --volume /path/to/your/iac/code:/tf bridgecrew/checkov --directory /tf
高级使用场景
集成到CI/CD管道
GitHub Actions示例:
yamljobs: checkov: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@v3 - name: Run Checkov uses: docker://bridgecrew/checkov:latest with: args: --directory . --output sarif --soft-fail
抑制/忽略检查
在资源定义块或CloudFormation资源中应用以下注释模式,可以跳过对特定检查:
hclresource "aws_s3_bucket" "example_bucket" { #checkov:skip=CKV_AWS_20:The bucket is intended to be public bucket = "example-bucket" acl = "public-read" }
对于Kubernetes清单,使用注释格式:
yamlapiVersion: v1 kind: Pod metadata: name: mypod annotations: checkov.io/skip1: CKV_K8S_20=不关心权限升级 spec: containers: - name: mycontainer image: myimage
故障排除提示
-
Python版本问题:如果使用Python 3.6(Ubuntu 18.04的默认版本),checkov将无法工作,并会失败并显示
ModuleNotFoundError: No module named 'dataclasses'错误消息。在这种情况下,可以使用Docker版本。 -
输出重定向问题:将
docker run --tty输出重定向到文件时(例如,要将Checkov JUnit输出保存到文件),可能会导致打印额外的控制字符,这可能会破坏文件解析。如果遇到此问题,请删除--tty标志。 -
工作目录设置:
--workdir /tf标志可选,用于将工作目录更改为挂载卷。如果使用SARIF输出-o sarif,这会将results.sarif文件输出到挂载卷。如果不包含该标志,工作目录将为"/"。
oowy/checkov
by oowy
基于Alpine Linux的Checkov Docker镜像,用于高效容器管理。
100K+ pulls
上次更新:2 个月前
pipelinecomponents/checkov
by pipelinecomponents
用于GitLab CI的容器化Checkov工具,提供基础设施即代码安全与合规性扫描功能。
110K+ pulls
上次更新:1 天前
lacework/iac-checkov
by Lacework Inc
认证
提供Checkov二进制文件存储,支持基础设施即代码(IaC)命令行工具进行安全漏洞与合规性扫描。
100K+ pulls
上次更新:2 个月前
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker加速体验非常流畅,大镜像也能快速完成下载。"
常见问题
Q1:轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
Q2:轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
Q3:流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
Q4:410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
Q5:manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
Q6:镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像加速服务
Windows/Mac
在 Docker Desktop 配置镜像加速
Docker Compose
Docker Compose 项目配置加速
K8s Containerd
Kubernetes 集群配置 Containerd
宝塔面板
在宝塔面板一键配置镜像加速
群晖
Synology 群晖 NAS 配置加速
飞牛
飞牛 fnOS 系统配置镜像加速
极空间
极空间 NAS 系统配置加速服务
爱快路由
爱快 iKuai 路由系统配置加速
绿联
绿联 NAS 系统配置镜像加速
威联通
QNAP 威联通 NAS 配置加速
Podman
Podman 容器引擎配置加速
Singularity/Apptainer
HPC 科学计算容器配置加速
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名加速
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429