azure - 我们可以使用 sonarqube 通过 azure devops ci/cd 管道从 Terraform 扫描(基础设施即代码)IaC 吗？

Question

我们可以使用 sonarqube 扫描 IaC 代码(不是应用程序代码)(此处的 IaC 代码是指用于创建 Azure 基础设施(例如 RBAC、PIM、允许的位置等)的 terraform 代码)，以查找 Azure DevOps CI/CD 管道的错误和漏洞？

我找到了一些链接但不确定？

https://registry.terraform.io/providers/jdamata/sonarqube/latest/docs/resources/sonarqube_qualitygate_project_association

Answer 1

我确认 SonarSource(SonarQube、SonarCloud、SonarLint)尚未提供任何扫描 IaC 文件(Terraform、CloudFormation...)的功能。这是我们 2021 年路线图的一部分，旨在为云原生应用程序提供安全功能，其中包括提出 IaC 文件问题。我们这边的工作才刚刚开始，所以不要指望这会很快发生，而是从第三季度开始。

编辑 2022 年 1 月: SonarQube 和 SonarCloud 现在支持对 AWS + Azure 的 CloudFormation 和 Terraform 进行分析(GPC 将于 2022 年第一季度推出)。 详情请参阅公告:

• https://www.sonarqube.org/sonarqube-9-2/
• https://www.sonarqube.org/sonarqube-9-3/