我们可以使用 sonarqube 扫描 IaC 代码(不是应用程序代码)(此处的 IaC 代码是指用于创建 Azure 基础设施(例如 RBAC、PIM、允许的位置等)的 terraform 代码),以查找 Azure DevOps CI/CD 管道的错误和漏洞?
我找到了一些链接但不确定?
最佳答案
我确认 SonarSource(SonarQube、SonarCloud、SonarLint)尚未提供任何扫描 IaC 文件(Terraform、CloudFormation...)的功能。这是我们 2021 年路线图的一部分,旨在为云原生应用程序提供安全功能,其中包括提出 IaC 文件问题。我们这边的工作才刚刚开始,所以不要指望这会很快发生,而是从第三季度开始。
编辑 2022 年 1 月: SonarQube 和 SonarCloud 现在支持对 AWS + Azure 的 CloudFormation 和 Terraform 进行分析(GPC 将于 2022 年第一季度推出)。 详情请参阅公告:
关于azure - 我们可以使用 sonarqube 通过 azure devops ci/cd 管道从 Terraform 扫描(基础设施即代码)IaC 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67191208/