weaveworks/weave-iac-validator

Weaveworks Infrastructure as Code Validator 镜像文档

1. 镜像概述和主要用途

Weaveworks Infrastructure as Code (IaC) Validator 是一款轻量级Docker镜像，提供自动化的IaC配置文件验证能力。该工具旨在帮助开发、运维和安全团队检查基础设施即代码文件（如Terraform配置、Kubernetes清单、CloudFormation模板等）的合规性、安全性及最佳实践遵循情况，降低部署风险，确保基础设施配置的可靠性和一致性。

2. 核心功能和特性

• 多类型IaC文件支持：兼容主流IaC工具格式，包括Terraform HCL文件、Kubernetes YAML/JSON清单、AWS CloudFormation模板等
• 合规性检查：内置行业通用策略规则（资源命名规范、标签要求、资源限制等），支持组织自定义策略扩展
• 安全性扫描：自动识别配置中的敏感信息（硬编码密钥、密码）、权限过度分配、网络安全组风险等安全隐患
• CI/CD集成能力：可无缝集成至Jenkins、GitHub Actions等CI/CD管道，实现代码提交/合并阶段的自动化验证
• 灵活输出格式：支持JSON、XML、文本等多种结果输出格式，便于结果分析和监控系统集成

3. 使用场景和适用范围

• 开发阶段本地验证：开发人员提交IaC代码前，通过本地容器快速检查配置文件，提前发现问题
• CI/CD流程集成：作为流水线关键步骤，在代码合并或部署前自动执行验证，阻止不合规配置进入生产环境
• 基础设施审计：DevOps和安全团队定期批量扫描现有IaC代码库，确保持续符合组织策略和安全标准
• 多团队协作：统一不同团队的IaC配置标准，通过自动化工具确保策略执行一致性

4. 使用方法和配置说明

4.1 基本使用（Docker Run）

bash
docker run --rm -v $(pwd):/iac weaveworks/iac-validator:latest validate /iac

参数说明：

• -v $(pwd):/iac：将本地当前目录（包含IaC文件）挂载至容器内/iac目录
• validate /iac：执行验证命令，检查/iac目录下的所有IaC文件

4.2 指定输出格式

通过-o或--output参数指定输出格式：

bash
docker run --rm -v $(pwd):/iac weaveworks/iac-validator:latest validate /iac -o json > validation-results.json

支持格式：text（默认）、json、xml

4.3 使用自定义策略

挂载自定义策略文件（如Rego规则）进行验证：

bash
docker run --rm -v $(pwd):/iac -v /path/to/custom-policies:/policies weaveworks/iac-validator:latest validate /iac --policy-dir /policies

4.4 Docker Compose 配置示例

yaml
version: '3'
services:
  iac-validator:
    image: weaveworks/iac-validator:latest
    volumes:
      - ./iac-files:/iac          # 挂载IaC文件目录
      - ./custom-policies:/policies  # 挂载自定义策略目录
    command: validate /iac --policy-dir /policies -o json
    environment:
      - VALIDATOR_LOG_LEVEL=info
      - VALIDATOR_IGNORE_WARNINGS=false

运行：docker-compose up

4.5 环境变量配置

5. 注意事项

• 确保挂载的IaC文件目录具有读权限，容器内非root用户需访问权限
• 大型IaC项目建议通过--cache-dir启用缓存提升验证速度
• 自定义策略文件需遵循工具支持的格式（如Open Policy Agent Rego规则），具体语法参考Weaveworks官方策略编写文档