🚨 Security doesn't start in prod — it starts at terraform plan.
With Policy as Code tools like #OPA, #Checkov, Snyk, and #Sentinel by HashiCorp, you can catch misconfigs before they deploy. 🛡️
#Checkov
I'd love to be able to use Checkov to validate that my Node package.json doesn't e.g. contain ranges for dependency versions.
Anyone know if this is possible? I'd want to run it in CI/CD (Google Cloud Build).
Review: Three Sisters, Invictus Theatre https://www.talkinbroadway.com/page/regional/chicago/ch754.html
#chicago #checkov #theater #theatre #review #writing #amwriting
👮 l'idée des checks en pre ou post terraform plan laisse une grande flexibilité de mise en place
🧑💻 la feature démontrée sur PaloAlto où leur moteur te fais directement des suggestions de code dans une Pull Request est assez efficace, à voir si https://github.com/reviewdog/reviewdog (suggéré par @jagostini ) pourrait faire ce genre de chose en combinant avec checkov...
🔎 checkov https://www.checkov.io/ était déjà dans mes radars, là c'est du libre, il y a des checks sympas
🤖 yok tague automatiquement façon gitops les ressources terraform https://yor.io/
🔧 coté Github actions pour checkov il te fais une liste d'actions dans l'onglet Security
🛑 un présentateur qui dit que générer de l'IAC avec de LLM c'est pas idéal, ça fait du bien
☁️ 🔒 Hier, j'ai participé à un Workshop organisé par Hashicorp avec des actions à faire sur Github, Terraform Cloud, AWS (et une démo présentée sur Palo Alto Cloud). J'ai appris quelques trucs, c'est chouette (bon, c'est pas mal de logiciel privatif, mais les principes sont intéressants) :
Le programme du workshop est public : https://github.com/PaloAltoNetworks/prisma-cloud-devsecops-workshop/blob/main/guide/DevSecOps-lab.md
Quelques trucs en 🧵
Обзор сканеров безопасности для проверки конфигурации Terraform
Для работы с облачными провайдерами существует способ управления инфраструктурой как кодом (англ. Infrastructure-as-Code, сокр. Iac). Для этих задач используется широко известный инструмент под названием Terraform . В основном он используется для работы с такими провайдерами, как Amazon Web Services, Microsoft Azure, Google Cloud Platform, Oracle Cloud. Также Terraform поддерживает работу с необлачными решениями, в их числе Active Directory, Docker, VMware vSphere. Как и при использовании любой другой технологии, при работе с конфигурацией Terraform могут возникать различные проблемы безопасности — несанкционированный доступ, инъекционные атаки, внедрение вредоносного кода, инсайдерские угрозы. В статье рассмотрим популярные утилиты , которые помогут выявить такие проблемы в конфигурационных файлах Terraform.
https://habr.com/ru/companies/first/articles/818259/
#terraform #утилиты #безопасность #сканер #Checkov #Terrascan #Tfsec
🎉 Excited to share parts 3 & 4 of my Secure Terraform series! Discover essential tools for securing your Infrastructure as Code projects: Terrascan & Checkov. 🛡️💻
📘 Part 3: Terrascan - Improve security & compliance with Terraform code ➡️ https://chris-ayers.com/2023/03/22/secure-terraform-part3-terrascan
📘 Part 4: Checkov - Ensure security & compliance in your IaC projects ➡️ https://chris-ayers.com/2023/03/24/secure-terraform-part4-checkov
#SecureTerraform #InfrastructureAsCode #Terrascan #Checkov #Security #Compliance #DevOps #Terraform
Client Info
Server: https://mastodon.social
Version: 2025.04
Repository: https://github.com/cyevgeniy/lmst