Checkov

Descripción

Checkov es un escáner de infraestructura como código (IaC) que detecta configuraciones inseguras en Terraform, CloudFormation, Kubernetes, etc.

Uso local

checkov -d .    # Escanea el directorio actual

Reportes

• CLI, JSON, JUnit, SARIF.

• Puede integrarse con plataformas como Prisma Cloud o DefectDojo.

Integración en CI/CD

• Esta acción de GitHub ejecuta Checkov en infraestructura como código, paquetes de código abierto, imágenes de contenedores y configuraciones de CI/CD para identificar configuraciones incorrectas, vulnerabilidades y problemas de cumplimiento de licencias.

      - name: Run Checkov action
        id: checkov
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          soft_fail: true
          download_external_modules: true
          github_pat: ${{ secrets.GH_PAT }}
        env:
          GITHUB_OVERRIDE_URL: true  # optional: this can be used to instruct the action to override the global GIT config to inject the PAT to the URL

Integraciones

• GitHub, Jira (API), Slack.

• VSCode: extensión oficial para resaltar problemas en tiempo real.

UI

• Checkov OSS no tiene UI propia, pero Prisma Cloud (versión paga) sí.

Licencia

• Open source (Apache 2.0).

• Instalación simple en máquinas virtuales.

Facilidad de uso

• Muy fácil. CLI sencilla y reglas predefinidas muy completas.

Cumplimiento con estándares:

• OWASP: Apoya indirectamente la mitigación de riesgos del OWASP Top 10 para aplicaciones cloud-native.

• NIST: Compatible con controles de NIST 800-53 (por ejemplo, CM-6: configuración, SC-12: seguridad criptográfica).

• ISO/IEC 27001: Apoya la seguridad en configuración de infraestructura (controles A.12.1.2 y A.14.1.3).

• CIS Benchmarks: Checkov valida configuraciones directamente contra benchmarks CIS para AWS, Azure, GCP, Kubernetes.