pipelinecomponents/checkov
pipelinecomponents
用于GitLab CI的容器化Checkov工具,提供基础设施即代码安全与合规性扫描功能。
1 次收藏下载次数: 0状态:社区镜像维护者:pipelinecomponents仓库类型:镜像最近更新:14 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Pipeline Components: Checkov 镜像文档
镜像概述
Pipeline Components: Checkov 是一个预安装 Checkov 工具的 Docker 镜像,旨在为 GitLab CI/CD 等自动化环境提供便捷的基础设施即代码(IaC)安全与合规性扫描能力。Checkov 工具安装于容器内 /app/ 路径,支持用户在使用前根据需求自定义配置。
核心功能与特性
- 即开即用的 Checkov 环境:预安装最新稳定版 Checkov,无需手动配置依赖。
- 轻量级设计:优化镜像体积,适合集成到 CI/CD 流水线,减少构建时间。
- 灵活的自定义能力:支持通过命令行参数或配置文件自定义扫描规则、输出格式等。
- 广泛的 IaC 支持:兼容 Terraform、CloudFormation、Kubernetes manifests、Dockerfile 等多种 IaC 类型文件。
- 无缝集成 GitLab CI:提供原生 GitLab CI 配置示例,简化流水线集成流程。
使用场景与适用范围
适用场景
- GitLab CI/CD 流水线集成:在代码合并或部署前自动执行 IaC 安全扫描,作为代码审查的前置检查。
- 本地开发环境验证:开发人员可通过 Docker 快速运行镜像,在提交代码前本地验证 IaC 文件合规性。
- 自动化合规审计:定期扫描存量 IaC 代码库,确保持续符合企业安全策略。
适用范围
- 使用 Terraform、CloudFormation、Kubernetes、Docker Compose 等 IaC 工具的项目。
- 需要自动化安全合规检查的 DevOps 团队或开发流程。
- 基于 GitLab CI/CD、Jenkins 等平台构建的自动化流水线。
使用方法与配置说明
1. GitLab CI/CD 集成
在 GitLab CI 流水线中,可直接引用该镜像作为扫描阶段的执行环境。以下为基础配置示例:
yamlcheckov: stage: linting # 建议放在代码检查阶段 image: ***-gitlab.xuanyuan.run/pipeline-components/checkov:latest # 或指定具体版本 script: - checkov -d . # 扫描当前目录下的所有 IaC 文件
参数说明:
stage: linting:将扫描任务绑定到流水线的 "linting" 阶段(需确保该阶段已定义)。image:指定镜像地址,可通过:latest使用最新版,或通过:x.y.z指定具体语义化版本。script:执行 Checkov 扫描命令,-d .表示扫描当前工作目录下的所有文件。
2. 本地 Docker 运行
通过 docker run 命令可在本地环境快速启动扫描,需将待扫描的 IaC 文件目录挂载到容器内:
bash# 扫描当前目录下的 IaC 文件 docker run --rm -v $(pwd):/app docker.xuanyuan.run/pipelinecomponents/checkov:latest checkov -d /app # 扫描指定目录并输出 JSON 格式报告 docker run --rm -v $(pwd):/app docker.xuanyuan.run/pipelinecomponents/checkov:latest checkov -d /app/src --output json
参数说明:
--rm:扫描完成后自动删除容器。-v $(pwd):/app:将本地当前目录挂载到容器内/app路径(Checkov 工作目录)。checkov -d /app:执行 Checkov 扫描,-d /app指定扫描容器内/app目录(即本地挂载的目录)。
3. Docker Compose 配置(可选)
如需通过 Docker Compose 管理扫描任务,可参考以下配置(适用于固定目录的定期扫描):
yamlversion: '3' services: checkov-scan: image: docker.xuanyuan.run/pipelinecomponents/checkov:latest volumes: - ./iac-files:/app # 本地 IaC 文件目录挂载到容器 /app command: checkov -d /app --config-file /app/.checkov.yaml # 使用自定义配置文件
4. Checkov 常用命令参数
Checkov 支持通过命令行参数自定义扫描行为,常用参数如下:
| 参数 | 说明 | 示例 |
|---|---|---|
-d <directory> | 指定扫描目录 | checkov -d ./terraform |
--config-file | 指定配置文件路径(定义跳过规则等) | --config-file .checkov.yaml |
--output <format> | 指定输出格式(json、junitxml、sarif 等) | --output junitxml |
--soft-fail | 扫描发现问题时不返回非零退出码(不阻断流水线) | --soft-fail |
--skip-check <id> | 跳过指定规则(如 CKV_AWS_21) | --skip-check CKV_AWS_21 |
版本控制
本项目采用 http://semver.org/spec/v2.0.0.html 管理镜像版本,版本号格式为 MAJOR.MINOR.PATCH,确保版本变更的可预测性。
许可证
本镜像项目基于 https://gitlab.com/pipeline-components/checkov/-/blob/main/LICENSE 开源,由 Robbert Müller 维护。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 checkov 镜像标签
docker pull docker.xuanyuan.run/pipelinecomponents/checkov:<标签>
DockerHub 原生拉取命令
docker pull pipelinecomponents/checkov:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"