我们可以使用 sonarqube 来扫描 IaC 代码(不是应用程序代码)(这里的 IaC 代码是指用于创建 Azure 基础设施(如 RBAC、PIM、允许的位置等)的 terraform 代码)以查找 Azure DevOps CI/CD 管道的错误和漏洞吗?
我找到了一些链接但不确定?
答案 0 :(得分:2)
我确认 SonarSource(SonarQube、SonarCloud、SonarLint)尚未提供任何功能来扫描 IaC 文件(Terraform、CloudFormation 等)。这是我们 2021 年路线图的一部分,旨在为保护云原生应用程序提供功能,包括提出 IaC 文件问题。我们这边的工作才刚刚开始,所以不要指望这会很快到来,而是从第三季度开始更多。
答案 1 :(得分:1)
没有用于分析 Terraform 代码的 SonarQube 插件。 您可以使用 Terrascan 或 TFLint 作为静态分析工具。