我们是否可以使用sonarqube通过azure devops ci/cd管道从Terraform扫描(基础设施即代码) IaC?
我们是否可以使用sonarqube通过azure devops ci/cd管道从Terraform扫描(基础设施即代码) IaC?
提问于 2021-04-21 15:32:35
我们是否可以使用sonarqube来扫描Azure代码(而不是应用程序代码)( IaC代码在这里指的是创建IaC基础设施的平台代码,如基于角色的访问控制、个人信息管理、允许的位置等),以查找DevOps CI/CD管道的错误和漏洞?
我找到了一些链接,但不确定?
回答 3
Stack Overflow用户
发布于 2021-04-23 14:43:09
我确认SonarSource (SonarQube,SonarCloud,SonarLint)还没有提供任何扫描IaC文件(Terraform,CloudFormation,...)的功能。这是我们2021年路线图的一部分,目的是为安全的云原生应用程序带来功能,包括在IaC文件上提出问题。我们这方面的工作才刚刚开始,所以不要指望这会很快到来,更多的工作是从Q3开始的。
Stack Overflow用户
发布于 2021-04-21 16:21:16
没有用于分析Terraform代码的SonarQube插件。你可以使用Terrascan或TFLint作为静态分析工具。
Stack Overflow用户
发布于 2021-12-06 00:10:50
这是另一个==> oak9 (www.oak9.io)。它侧重于通过分析IaC来保护您的应用程序体系结构。它具有许多功能,包括开箱即用的安全性和合规性蓝图,跨CI/CD工具集和代码库的集成,与不同云服务提供商的集成等等。完全公开-我在这里的安全团队工作
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67191208
复制相关文章
相似问题
腾讯云开发者
