Checkov Docker镜像文档

!checkov

![Maintained by Bridgecrew.io]([] ![build status]([] ![security status]([] ![docs]([] ![PyPI]([] ![Docker Pulls]([] ![slack-community]([***]

镜像概述和主要用途

Checkov是一个针对基础设施即代码(IaC)的静态代码分析工具。它扫描使用各种IaC工具 provisioned 的云基础设施，并通过基于图形的扫描检测安全和合规性配置错误。

主要用途：在构建时防止云配置错误，确保基础设施即代码的安全性和合规性。

核心功能和特性

• 多平台支持：扫描Terraform、Terraform计划、CloudFormation、AWS SAM、Kubernetes、Helm图表、Kustomize、Dockerfile、Serverless框架或ARM模板
• 丰富的策略库：超过1000个内置策略，涵盖AWS、Azure和Google Cloud的安全和合规最佳实践
• 上下文感知策略：基于内存图形扫描的上下文感知策略支持
• 凭证检测：检测EC2 Userdata、Lambda环境变量和Terraform提供程序中的AWS凭证
• 密钥识别：使用正则表达式、关键字和基于熵的检测识别密钥
• 变量评估：支持将变量评估为其可选默认值
• 灵活的检查控制：支持内联抑制已接受风险或误报，减少重复扫描失败；也支持通过CLI进行全局跳过
• 多种输出格式：目前支持CLI、CycloneDX、JSON、JUnit XML和GitHub Markdown格式输出，并链接到修复指南

使用场景和适用范围

Checkov适用于以下场景：

• 开发流程集成：作为CI/CD管道的一部分，在基础设施代码提交或部署前进行安全扫描
• 代码审查辅助：在代码审查过程中自动检测基础设施配置问题
• 合规性审计：验证基础设施是否符合内部安全策略和行业合规标准
• 安全开发生命周期：在开发早期识别并修复安全问题，减少生产环境中的安全漏洞
• 多团队协作：确保不同团队使用一致的安全标准配置基础设施

适用范围包括使用基础设施即代码工具管理云资源的团队和组织，特别是那些使用AWS、Azure或Google Cloud的团队。

详细的使用方法和配置说明

基本要求

• Python >= 3.7（数据类适用于Python 3.7+）
• Terraform >= 0.12（如使用Terraform扫描）

Docker镜像使用方法

拉取镜像

docker pull bridgecrew/checkov

基本扫描命令

docker run --tty --volume /path/to/your/iac/code:/tf --workdir /tf bridgecrew/checkov --directory /tf

参数说明：

• --tty：启用终端模式，提供更好的输出格式
• --volume /path/to/your/iac/code:/tf：将本地IaC代码目录挂载到容器内的/tf目录
• --workdir /tf：可选，将工作目录更改为挂载的卷（如果使用SARIF输出，结果文件将输出到挂载卷）
• --directory /tf：指定要扫描的目录

扫描特定文件

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov --file /tf/example.tf

扫描多个文件

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -f /tf/example1.yml -f /tf/example2.yml

扫描Terraform计划文件

# 首先在本地生成Terraform计划文件
terraform init
terraform plan -out tf.plan
terraform show -json tf.plan > tf.json

# 然后使用Checkov扫描生成的JSON文件
docker run --tty --volume /path/to/your/terraform/code:/tf bridgecrew/checkov -f /tf/tf.json

高级配置选项

运行或跳过特定检查

列出可用检查：

docker run --tty bridgecrew/checkov --list

仅运行指定检查：

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov --directory /tf --check CKV_AWS_20,CKV_AWS_57

运行除指定检查外的所有检查：

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf --skip-check CKV_AWS_20

运行除指定模式检查外的所有检查：

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf --skip-check CKV_AWS*

跳过命名空间（Kubernetes）

docker run --tty --volume /path/to/your/k8s/code:/tf bridgecrew/checkov -d /tf --skip-check kube-system

输出格式配置

JSON格式输出：

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf -o json

JUnit XML格式输出：

docker run --tty --volume /path/to/your/iac/code:/tf bridgecrew/checkov -d /tf -o junitxml > results.xml

SARIF格式输出（适用于GitHub代码扫描）：

docker run --tty --volume /path/to/your/iac/code:/tf --workdir /tf bridgecrew/checkov -d /tf -o sarif

配置文件使用

Checkov可以使用YAML配置文件进行配置。默认情况下，Checkov会按以下优先级顺序查找.checkov.yaml或.checkov.yml文件：

1. 运行checkov的目录（--directory指定的目录）
2. 调用checkov的当前工作目录
3. 用户的主目录

可以通过命令行参数指定配置文件路径：

docker run --tty --volume /path/to/your/iac/code:/tf --volume /path/to/your/config/.checkov.yaml:/checkov.yaml bridgecrew/checkov --directory /tf --config-file /checkov.yaml

环境变量配置

• LOG_LEVEL：设置日志级别，默认为WARNING，可设置为DEBUG获取详细日志
• IGNORE_HIDDEN_DIRECTORY_ENV：设置为false可取消跳过以.开头的目录
• CKV_IGNORED_DIRECTORIES：覆盖默认跳过的目录列表

示例：

docker run --tty --env LOG_LEVEL=DEBUG --volume /path/to/your/iac/code:/tf bridgecrew/checkov --directory /tf

高级使用场景

集成到CI/CD管道

GitHub Actions示例：

jobs:
  checkov:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3
      
      - name: Run Checkov
        uses: docker://bridgecrew/checkov:latest
        with:
          args: --directory . --output sarif --soft-fail

抑制/忽略检查

在资源定义块或CloudFormation资源中应用以下注释模式，可以跳过对特定检查：

resource "aws_s3_bucket" "example_bucket" {
  #checkov:skip=CKV_AWS_20:The bucket is intended to be public
  bucket = "example-bucket"
  acl    = "public-read"
}

对于Kubernetes清单，使用注释格式：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
  annotations:
    checkov.io/skip1: CKV_K8S_20=不关心权限升级
spec:
  containers:
  - name: mycontainer
    image: myimage

故障排除提示

• Python版本问题：如果使用Python 3.6（Ubuntu 18.04的默认版本），checkov将无法工作，并会失败并显示ModuleNotFoundError: No module named 'dataclasses'错误消息。在这种情况下，可以使用Docker版本。

• 输出重定向问题：将docker run --tty输出重定向到文件时（例如，要将Checkov JUnit输出保存到文件），可能会导致打印额外的控制字符，这可能会破坏文件解析。如果遇到此问题，请删除--tty标志。

• 工作目录设置：--workdir /tf标志可选，用于将工作目录更改为挂载卷。如果使用SARIF输出-o sarif，这会将results.sarif文件输出到挂载卷。如果不包含该标志，工作目录将为"/"。