Terrascan
Security-as-Code
Skan zgodności i bezpieczeństwa IaC przed provisioningiem.
Terrascan wykrywa naruszenia bezpieczeństwa i zgodności w infrastrukturze jako kod (Terraform, Kubernetes, Helm, Dockerfile) zanim cokolwiek zostanie zaprovisionowane. Reguły opiera o politykę pisaną w Rego (jak Open Policy Agent), więc własne standardy zapiszesz deklaratywnie i wymusisz w pipeline.
Kiedy używać
- Skanujesz IaC (Terraform/Kubernetes) pod kątem zgodności i bezpieczeństwa.
- Chcesz polityk w Rego, spójnych z ekosystemem OPA.
- Bramkujesz PR-y i plan przed
apply.
Przykład użycia
terrascan scan -i terraform -d .
terrascan scan -i k8s -d ./manifests
# Gitea Actions — fail przy naruszeniach
- run: terrascan scan -d infra --verbose
Warto wiedzieć
- Pokrywa się funkcjonalnie z Checkov — wybór zależy od preferencji (Rego vs Python/YAML).
- Polityki trzymaj w repo i wersjonuj jak kod.