tenable/terrascan

Terrascan

镜像概述和主要用途

Terrascan是一款针对基础设施即代码(IaC)的静态代码分析工具，旨在帮助用户在部署云原生基础设施前识别合规性和安全违规问题。该工具支持多种IaC类型和云服务提供商，可无缝集成到开发和部署流程中，有效降低基础设施配置风险。

核心功能和特性

• 多类型IaC支持：可扫描Terraform、CloudFormation、Azure Resource Manager (ARM)、Dockerfile、Kubernetes (JSON/YAML)、Helm v3和Kustomize等多种基础设施即代码格式
• 多云平台兼容：检测AWS、Azure、GCP、Kubernetes、Dockerfile和GitHub等多个云服务提供商的安全弱点和违规行为
• 漏洞检测：识别IaC中使用的易受***的Docker镜像
• 灵活部署：支持本地运行或集成到CI/CD流程中
• 多种输出格式：支持human、json、yaml、xml、junit-xml、sarif、github-sarif等多种输出格式
• 服务器模式：可作为API服务器运行，提供持续扫描能力

使用场景和适用范围

• 本地开发环境：开发人员在提交代码前本地检查IaC配置问题
• CI/CD流程集成：在代码合并或部署前自动扫描，防止不安全配置进入生产环境
• 云基础设施审计：对现有IaC代码库进行合规性和安全性审计
• DevSecOps实践：将安全检查左移，在开发早期发现并修复问题

使用方法和配置说明

快速开始

扫描当前目录

使用Docker镜像扫描当前目录下的IaC文件：

sh
docker run -v `pwd`:`pwd` -w `pwd` accurics/terrascan scan .

服务器模式运行

启动Terrascan作为API服务器：

sh
docker run --rm --name terrascan -p 9010:9010 accurics/terrascan

查看帮助命令

获取Terrascan命令帮助信息：

sh
docker run accurics/terrascan help

命令说明

Terrascan提供以下主要命令：

• init：初始化Terrascan并从GitHub仓库克隆策略
• scan：扫描IaC文件以检测合规性和安全违规
• server：以API服务器模式运行Terrascan
• version：显示Terrascan版本信息

常用标志

• -c, --config-path string：配置文件路径
• -h, --help：显示帮助信息
• -l, --log-level string：日志级别（debug, info, warn, error, panic, fatal），默认"info"
• -x, --log-type string：日志输出类型（console, json），默认"console"
• -o, --output string：输出类型（human, json, yaml, xml, junit-xml, sarif, github-sarif），默认"human"
• --temp-dir string：用于下载远程仓库、模块和模板的临时目录路径

标签和版本

• 每个Terrascan版本都会发布对应的Docker镜像标签
• latest标签包含默认分支的最新更改，不建议用于生产环境
• 建议在生产环境中使用特定版本标签以确保稳定性

获取帮助

• 详细文档：[***]
• 社区支持：***