热门搜索:
wesleydeanflexion/tfsec
wesleydeanflexion
Liam Galvin的tfsec每日构建版,用于对Terraform代码执行静态代码分析,通过扫描模板发现潜在安全问题,支持Terraform v0.12+。
2 次收藏下载次数: 0状态:社区镜像维护者:wesleydeanflexion仓库类型:镜像最近更新:4 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
tfsec
镜像概述和主要用途
tfsec是一个用于对Terraform模板进行静态分析的工具,可识别潜在的安全问题。本镜像为Liam Galvin开发的tfsec每日构建版本,支持Terraform v0.12及以上版本,帮助用户在开发和部署过程中提前发现Terraform代码中的安全风险。
核心功能和特性
- 敏感数据检查:跨所有云服务提供商检查敏感数据的不当存储
- 云平台安全最佳实践验证:检查AWS、Azure和GCP资源是否符合安全最佳实践建议
- 模块扫描:支持扫描本地模块(目前仅支持本地模块)
- 表达式评估:不仅检查文字值,还能评估表达式结果
使用场景和适用范围
- CI/CD流水线集成:作为代码构建流程的一部分,自动进行安全检查
- 本地开发验证:开发人员在提交代码前进行本地安全扫描
- 基础设施即代码(IaC)审计:对现有Terraform代码库进行安全审计
- 云资源部署前检查:在部署云资源前识别潜在安全漏洞
使用方法和配置说明
Docker镜像使用
构建镜像
bashdocker build -t tfsec .
运行容器
bashdocker run --rm -it -v "$(pwd):/workdir" tfsec .
--rm:容器退出后自动删除-it:交互模式运行-v "$(pwd):/workdir":将当前目录挂载到容器内的/workdir目录.:指定扫描的目录(容器内的路径,对应宿主机当前目录)
基本使用说明
tfsec会递归扫描指定目录,若未指定目录则使用当前工作目录。发现问题时退出状态码非零,无问题时为零。
忽略警告
可通过在代码中添加包含tfsec:ignore:<CODE>的注释来忽略特定警告。若问题涉及代码块(如多行字符串),可在块的上一行单独添加注释。
示例:
hclresource "aws_security_group_rule" "my-rule" { type = "ingress" cidr_blocks = ["0.0.0.0/0"] #tfsec:ignore:AWS006 }
或
hclresource "aws_security_group_rule" "my-rule" { type = "ingress" #tfsec:ignore:AWS006 cidr_blocks = ["0.0.0.0/0"] }
包含的检查项
目前检查项主要针对AWS、Azure、GCP资源,同时包含部分 provider 无关的通用检查:
| 代码 | 提供商 | 描述 |
|---|---|---|
| GEN001 | * | 变量的"default"值中存储了潜在敏感数据。 |
| GEN002 | * | 本地值中存储了潜在敏感数据。 |
| GEN003 | * | 块属性中存储了潜在敏感数据。 |
| AWS001 | aws | S3 Bucket定义了允许公共访问的ACL。 |
| AWS002 | aws | S3 Bucket未启用日志记录。 |
| AWS003 | aws | 使用AWS Classic资源。 |
| AWS004 | aws | 使用明文HTTP。 |
| AWS005 | aws | 负载均衡器暴露在互联网上。 |
| AWS006 | aws | 入站安全组规则允许来自/0的流量。 |
| AWS007 | aws | 出站安全组规则允许流向/0的流量。 |
| AWS008 | aws | 内联入站安全组规则允许来自/0的流量。 |
| AWS009 | aws | 内联出站安全组规则允许流向/0的流量。 |
| AWS010 | aws | 负载均衡器使用过时的SSL策略。 |
| AWS011 | aws | 资源被标记为可公开访问。 |
| AWS012 | aws | 资源具有公共IP地址。 |
| AWS013 | aws | 任务定义包含敏感环境变量。 |
| AWS014 | aws | 启动配置使用未加密的块设备。 |
| AWS015 | aws | 未加密的SQS队列。 |
| AWS016 | aws | 未加密的SNS主题。 |
| AWS017 | aws | 未加密的S3 bucket。 |
| AWS018 | aws | 安全组/安全组规则缺少描述。 |
| AZU001 | azurerm | 入站网络安全规则允许来自/0的流量。 |
| AZU002 | azurerm | 出站网络安全规则允许流向/0的流量。 |
| AZU003 | azurerm | 未加密的托管磁盘。 |
| AZU004 | azurerm | 未加密的数据湖存储。 |
| AZU005 | azurerm | 使用密码认证而非SSH密钥。 |
| GCP001 | 未加密的计算磁盘。 | |
| GCP002 | 未加密的存储桶。 | |
| GCP003 | 入站防火墙规则允许来自/0的流量。 | |
| GCP004 | 出站防火墙规则允许流向/0的流量。 |
在CI中运行
tfsec设计用于CI流水线,发现潜在问题时会返回非零退出码。如需在构建过程中禁用彩色输出,可使用--no-colour(或--no-color)参数。
对旧版Terraform的支持
若需支持使用HCL v1的Terraform版本(Terraform <0.12),可使用tfsec的v0.1.3版本,但该版本支持有限且检查项较少。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 tfsec 镜像标签
docker pull docker.xuanyuan.run/wesleydeanflexion/tfsec:<标签>
DockerHub 原生拉取命令
docker pull wesleydeanflexion/tfsec:<标签>
更多 tfsec 镜像推荐
tfsec/tfsec
tfsec
You should use aquasec/tfsec instead
1 次收藏50万+ 次下载
4 年前更新
tfsec/tfsec-ci
tfsec
未设置入口点的tfsec版本,建议使用aquasec/tfsec-ci替代。
100万+ 次下载
4 年前更新
tfsec/tfsec-alpine
tfsec
you should use aqusec/tfsec-alpine instead
5万+ 次下载
4 年前更新
aquasec/tfsec
aquasec
tfsec的Docker镜像,用于扫描Terraform代码以识别潜在安全隐患的安全检查工具。
2 次收藏100万+ 次下载
1 年前更新
oowy/tfsec
oowy
基于Alpine Linux的Tfsec Docker镜像,用于对Terraform文件进行静态安全分析,帮助在部署前识别潜在安全问题。
5万+ 次下载
9 个月前更新
liamg/tfsec
liamg
针对Terraform代码的静态分析安全扫描工具,可检测代码中的安全隐患,帮助提升基础设施即代码的安全性
10万+ 次下载
5 年前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"