ホーム>プログラミング関連>その他のソースコード
ダウンロード

TFSECから些細な移動

すべての人に包括的なオープンソースセキュリティソリューションを提供するという目標の一環として、私たちはスキャン関連のすべての取り組みを1か所で統合しており、それは些細なことです。

過去1年間、TFSECはTerrivyのスキャン機能を含むTrivyのIAC&Misconfigurationsスキャン機能の基礎を築きました。

今後、TFSECコミュニティがトライビーに移行するよう奨励したいと考えています。 Trivyに移動すると、いくつかの追加の利点があり、同じ優れたTerraformスキャンエンジンが得られます。

  1. 同じツールでより多くの言語と機能へのアクセス。
  2. トライビー周辺の豊富なエコシステムを通じて、ツールやサービスとのより多くの統合へのアクセス。
  3. Aquaと情熱的なトライビーコミュニティによって商業的にサポートされています。 TFSECは、当面は引き続き利用可能であり続けますが、私たちのエンジニアリングの注意は今後の雑学に向けられます。

TFSECからTrivy Migration Guide

トライビーがTFSECとどのように比較され、TFSECからTrivyに移行するかの詳細については、移行ガイドをご覧ください。

概要

TFSECは、テラフォームコードの静的分析を使用して、潜在的な誤った装いを見つけます。

特徴

  • ☁️すべての主要な(およびいくつかのマイナーな)クラウドプロバイダーにわたって誤った採掘をチェックします
  • ⛔何百もの組み込みルール
  • ?スキャンモジュール(ローカルおよびリモート)
  • hcl式とリテラル値を評価します
  • terraform関数を評価する例: concat()
  • ? Terraformリソース間の関係を評価します
  • ? Terraform CDKと互換性があります
  • ?ユーザー定義のREGOポリシーを適用(および装飾)します
  • ?複数の出力形式をサポートしています:Lovely(デフォルト)、JSON、SARIF、CSV、CheckStyle、Junit、Text、GIF。
  • 構成可能(CLIフラグおよび/または構成ファイルを介して)
  • over非常に高速で、巨大なリポジトリをすばやくスキャンできます
  • ?利用可能な人気のあるIDEのプラグイン(JetBrain、VSCODE、VIM)
  • ?コミュニティ主導 - スラックで私たちとチャットしてください!

Thoughtworksがお勧めします

TheNowsWorks Tech Radarによる評価された採用

Terraformを使用したプロジェクトでは、TFSECは潜在的なセキュリティリスクを検出するためのデフォルトの静的分析ツールにすぐになりました。 CIパイプラインに統合するのは簡単で、Kubernetesのようなすべての主要なクラウドプロバイダーとプラットフォームに対してチェックのライブラリが増えています。使いやすさを考えると、TFSECはあらゆるTerraformプロジェクトに適している可能性があると考えています。

出力の例

画面の例

インストール

Brew/LinuxBrewとともにインストールします

brew install tfsec

チョコレートと一緒にインストールします

choco install tfsec

スクープでインストールします

scoop install tfsec

Bash Script(Linux): 

 curl -s https://raw.githubusercontent.com/aquasecurity/tfsec/master/scripts/install_linux.sh | bash

リリースページからシステムのバイナリを入手することもできます。

または、goでインストールします。 

go install github.com/aquasecurity/tfsec/cmd/tfsec@latest

go installの使用はmasterブランチから直接インストールされ、バージョン番号はtfsec --versionを介して報告されないことに注意してください。

署名

リリースページのバイナリは、TFSEC署名キーD66B222A3EA4C25D5D1A097FC34ACEFB46EC39CEで署名されています

詳細については、検証に関する指示については、署名ページを確認してください。

使用法

TFSECは、指定されたディレクトリをスキャンします。ディレクトリが指定されていない場合、現在の作業ディレクトリが使用されます。

TFSECが問題を見つけた場合、出口ステータスはゼロではありません。そうしないと、出口ステータスはゼロになります。 

tfsec .

Dockerで使用します

システムにTFSECをインストールおよび実行する代わりに、DockerコンテナでTFSECを実行できます。

利用可能なDockerオプションはたくさんあります

画像名ベースコメント
Aquasec/TFSEC高山通常のTFSEC画像
aquasec/tfsec-alpine高山aquasec/tfsecとまったく同じですが、全体的には明示的であることが好きです
aquasec/tfsec-ci高山エントリーポイントなしのTFSEC-コマンドをオーバーライドする場所でCIビルドに役立ちます
aquasec/tfsec-scratchスクラッチの上に構築された画像 - 何もフリル、TFSECを実行するだけです

実行する: 

docker run --rm -it -v " $( pwd ) :/src " aquasec/tfsec /src

Visual Studioコードで使用します

TFSECの結果と統合するために、ビジュアルスタジオコード拡張機能が開発されています。詳細については、TFSECマーケットプレイスページをご覧ください。

GitHubアクションとして使用します

GitHubアクションとしてリポジトリでTFSECを実行する場合は、https://github.com/aquasecurity/tfsec-pr-commenter-actionを使用できます。

Azure DevOpsパイプラインタスクとして使用します

これで、公式のTFSECタスクをインストールできます。タスクリポジトリで問題/機能リクエストを提起してください。

警告を無視します

いくつかの警告を無視することをお勧めします。そうしたい場合は、 tfsec:ignore:<rule> 。または、問題を含むブロックの上の行またはモジュールブロックにコメントを追加して、モジュール内の問題のすべての発生を無視することもできます。

たとえば、オープンなセキュリティグループルールを無視するには: 

 resource "aws_security_group_rule" "my-rule" {
    type = " ingress "
    cidr_blocks = [ " 0.0.0.0/0 " ] # tfsec:ignore:aws-vpc-no-public-ingress-sgr
}

...または... 

 resource "aws_security_group_rule" "my-rule" {
    type = " ingress "
    # tfsec:ignore:aws-vpc-no-public-ingress-sgr
    cidr_blocks = [ " 0.0.0.0/0 " ]
}

コメントを追加する行がわからない場合は、発見された問題のライン番号については、TFSEC出力を確認してください。

単一行のルールを連結することにより、複数のルールを無視できます。 

 # tfsec:ignore:aws-s3-enable-bucket-encryption tfsec:ignore:aws-s3-enable-bucket-logging
resource "aws_s3_bucket" "my-bucket" {
  bucket = " foobar "
  acl    = " private "
}

有効期限

yyyy-mm-dd形式でignore有効期限を設定できます。これは、無視された問題が忘れられず、将来再検討する必要があることを確認したい場合に有用な機能です。 

 #tfsec:ignore:aws-s3-enable-bucket-encryption:exp:2025-01-02

このように無視すると、 2025-01-02までのみアクティブになります。この日付の後、それは非アクティブ化されます。

チェックを無効にします

実行からいくつかのチェックを除外することをお勧めします。そうしたい場合は、CMDコマンドに新しい引数-e check1,check2,etc追加するだけです

tfsec . -e general-secrets-sensitive-in-variable,google-compute-disk-encryption-customer-keys

.tfvarsからの値を含む

--tfvars-file terraform.tfvarsを使用して、スキャンにtfvarsファイルの値を含めることができます。

含まれているチェック

TFSECは、多くの人気のあるクラウドおよびプラットフォームプロバイダーをサポートしています

チェック
AWSチェック
Azureチェック
GCPチェック
CloudStackチェック
DigitalOceanチェック
Githubチェック
Kubernetesチェック
OpenStackチェック
オラクルチェック

CIで実行

TFSECは、CIパイプラインで実行するために設計されています。色付きの出力なしでビルドの一部としてTFSECを実行することをお勧めします。これを--no-colour (または--no-colorアメリカ人の友人のために)を使用してこれを行うことができます。

出力オプション

JSON、CSV、CheckStyle、Sarif、Junit、または単なる古い人間の読み取り可能な形式としてTFSECの結果を出力できます。 --formatフラグを使用して、目的の形式を指定します。

GitHubセキュリティアラート

GitHubセキュリティアラートと統合し、TFSECチェックの出力を含める場合は、TFSEC-Sarif-Action GitHubアクションを使用して静的分析を実行し、結果を[セキュリティ]アラートタブにアップロードできます。

TFSEC-Example-Projectのために生成されたアラートは、このように見えます。

GitHubセキュリティアラート

ブランチのアラートをクリックすると、実際の問題に関する詳細情報が得られます。

GitHubセキュリティアラート

セキュリティアラートの追加の詳細については、GitHubドキュメントを確認してください

古いTerraformバージョンのサポート

HCL V1(Terraform <0.12)を使用するTerraformのバージョンをサポートする必要がある場合は、TFSECのv0.1.3使用できますが、サポートは非​​常に限られており、チェックが少ないです。

貢献

私たちは常に貢献を歓迎します。大小を問わず、ドキュメントの更新になり、新しいチェックなどを追加することもできます。支援方法の詳細については、寄稿ガイドを確認してください。

貢献した一部の人々

寄稿者で作られています。

tfsecはAqua Security Open Sourceプロジェクトです。オープンソースの作業とポートフォリオについては、こちらをご覧ください。コミュニティに参加して、GitHubの議論やSlackの問題についてお問い合わせください。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて