Checkov で Terraform の脆弱性を検知する: insecure vs secure の比較デモ

IaC のセキュリティは apply する前に担保したい。Checkov を使えば、Terraform コードの脆弱性を静的解析で検知できます。S3、Security Group、RDS、IAM、CloudTrail の 5 リソースを題材に、脆弱なコードで 37 個の FAILED を出し、修正済みコードで 111 個の PASSED を達成するまでの流れをデモリポジトリで再現しました。

Trivy で Terraform のミスコンフィギュレーションを検知する: Checkov との比較デモ

Checkov に続き、Trivy でも同じ Terraform コードをスキャンするデモリポジトリを作成しました。同じ脆弱なコードに対して Checkov は 37 件、Trivy は 27 件の検知。この差はどこから来るのか。severity の分類、IAM ワイルドカードの扱い、検知 ID 体系の違いを実際のスキャン結果から比較します。