Checkov
Descripción
Checkov es un escáner de infraestructura como código (IaC) que detecta configuraciones inseguras en Terraform, CloudFormation, Kubernetes, etc.
Uso local
checkov -d . # Escanea el directorio actualReportes
-
Puede integrarse con plataformas como Prisma Cloud o DefectDojo.
Integración en CI/CD
-
Esta acción de GitHub ejecuta Checkov en infraestructura como código, paquetes de código abierto, imágenes de contenedores y configuraciones de CI/CD para identificar configuraciones incorrectas, vulnerabilidades y problemas de cumplimiento de licencias.
- name: Run Checkov action
id: checkov
uses: bridgecrewio/checkov-action@master
with:
directory: .
soft_fail: true
download_external_modules: true
github_pat: ${{ secrets.GH_PAT }}
env:
GITHUB_OVERRIDE_URL: true # optional: this can be used to instruct the action to override the global GIT config to inject the PAT to the URL
Integraciones
-
VSCode: extensión oficial para resaltar problemas en tiempo real.
UI
-
Checkov OSS no tiene UI propia, pero Prisma Cloud (versión paga) sí.
Licencia
-
Open source (Apache 2.0).
-
Instalación simple en máquinas virtuales.
Facilidad de uso
- Muy fácil. CLI sencilla y reglas predefinidas muy completas.
Cumplimiento con estándares:
-
OWASP: Apoya indirectamente la mitigación de riesgos del OWASP Top 10 para aplicaciones cloud-native.
-
NIST: Compatible con controles de NIST 800-53 (por ejemplo, CM-6: configuración, SC-12: seguridad criptográfica).
-
ISO/IEC 27001: Apoya la seguridad en configuración de infraestructura (controles A.12.1.2 y A.14.1.3).
-
CIS Benchmarks: Checkov valida configuraciones directamente contra benchmarks CIS para AWS, Azure, GCP, Kubernetes.