pipelinecomponents/checkov Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
pipelinecomponents/checkovpipelinecomponents
用于GitLab CI的容器化Checkov工具,提供基础设施即代码安全与合规性扫描功能。
1 次收藏下载次数: 0状态:社区镜像维护者:pipelinecomponents仓库类型:镜像最近更新:6 天前
Pipeline Components: Checkov 镜像文档
镜像概述
Pipeline Components: Checkov 是一个预安装 Checkov 工具的 Docker 镜像,旨在为 GitLab CI/CD 等自动化环境提供便捷的基础设施即代码(IaC)安全与合规性扫描能力。Checkov 工具安装于容器内 /app/ 路径,支持用户在使用前根据需求自定义配置。
核心功能与特性
- 即开即用的 Checkov 环境:预安装最新稳定版 Checkov,无需手动配置依赖。
- 轻量级设计:优化镜像体积,适合集成到 CI/CD 流水线,减少构建时间。
- 灵活的自定义能力:支持通过命令行参数或配置文件自定义扫描规则、输出格式等。
- 广泛的 IaC 支持:兼容 Terraform、CloudFormation、Kubernetes manifests、Dockerfile 等多种 IaC 类型文件。
- 无缝集成 GitLab CI:提供原生 GitLab CI 配置示例,简化流水线集成流程。
使用场景与适用范围
适用场景
- GitLab CI/CD 流水线集成:在代码合并或部署前自动执行 IaC 安全扫描,作为代码审查的前置检查。
- 本地开发环境验证:开发人员可通过 Docker 快速运行镜像,在提交代码前本地验证 IaC 文件合规性。
- 自动化合规审计:定期扫描存量 IaC 代码库,确保持续符合企业安全策略。
适用范围
- 使用 Terraform、CloudFormation、Kubernetes、Docker Compose 等 IaC 工具的项目。
- 需要自动化安全合规检查的 DevOps 团队或开发流程。
- 基于 GitLab CI/CD、Jenkins 等平台构建的自动化流水线。
使用方法与配置说明
1. GitLab CI/CD 集成
在 GitLab CI 流水线中,可直接引用该镜像作为扫描阶段的执行环境。以下为基础配置示例:
yamlcheckov: stage: linting # 建议放在代码检查阶段 image: registry.gitlab.com/pipeline-components/checkov:latest # 或指定具体版本 script: - checkov -d . # 扫描当前目录下的所有 IaC 文件
参数说明:
stage: linting:将扫描任务绑定到流水线的 "linting" 阶段(需确保该阶段已定义)。image:指定镜像地址,可通过:latest使用最新版,或通过:x.y.z指定具体语义化版本。script:执行 Checkov 扫描命令,-d .表示扫描当前工作目录下的所有文件。
2. 本地 Docker 运行
通过 docker run 命令可在本地环境快速启动扫描,需将待扫描的 IaC 文件目录挂载到容器内:
bash# 扫描当前目录下的 IaC 文件 docker run --rm -v $(pwd):/app pipelinecomponents/checkov:latest checkov -d /app # 扫描指定目录并输出 JSON 格式报告 docker run --rm -v $(pwd):/app pipelinecomponents/checkov:latest checkov -d /app/src --output json
参数说明:
--rm:扫描完成后自动删除容器。-v $(pwd):/app:将本地当前目录挂载到容器内/app路径(Checkov 工作目录)。checkov -d /app:执行 Checkov 扫描,-d /app指定扫描容器内/app目录(即本地挂载的目录)。
3. Docker Compose 配置(可选)
如需通过 Docker Compose 管理扫描任务,可参考以下配置(适用于固定目录的定期扫描):
yamlversion: '3' services: checkov-scan: image: pipelinecomponents/checkov:latest volumes: - ./iac-files:/app # 本地 IaC 文件目录挂载到容器 /app command: checkov -d /app --config-file /app/.checkov.yaml # 使用自定义配置文件
4. Checkov 常用命令参数
Checkov 支持通过命令行参数自定义扫描行为,常用参数如下:
| 参数 | 说明 | 示例 |
|---|---|---|
-d <directory> | 指定扫描目录 | checkov -d ./terraform |
--config-file | 指定配置文件路径(定义跳过规则等) | --config-file .checkov.yaml |
--output <format> | 指定输出格式(json、junitxml、sarif 等) | --output junitxml |
--soft-fail | 扫描发现问题时不返回非零退出码(不阻断流水线) | --soft-fail |
--skip-check <id> | 跳过指定规则(如 CKV_AWS_21) | --skip-check CKV_AWS_21 |
版本控制
本项目采用 语义化版本控制(Semantic Versioning) 管理镜像版本,版本号格式为 MAJOR.MINOR.PATCH,确保版本变更的可预测性。
许可证
本镜像项目基于 MIT 许可证 开源,由 Robbert Müller 维护。
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"