gpt4 book ai didi

azure - 我们可以使用 sonarqube 通过 azure devops ci/cd 管道从 Terraform 扫描(基础设施即代码)IaC 吗?

转载 作者:行者123 更新时间:2023-12-04 03:29:06 29 4
gpt4 key购买 nike

我们可以使用 sonarqube 扫描 IaC 代码(不是应用程序代码)(此处的 IaC 代码是指用于创建 Azure 基础设施(例如 RBAC、PIM、允许的位置等)的 terraform 代码),以查找 Azure DevOps CI/CD 管道的错误和漏洞?

我找到了一些链接但不确定?

https://registry.terraform.io/providers/jdamata/sonarqube/latest/docs/resources/sonarqube_qualitygate_project_association

最佳答案

我确认 SonarSource(SonarQube、SonarCloud、SonarLint)尚未提供任何扫描 IaC 文件(Terraform、CloudFormation...)的功能。这是我们 2021 年路线图的一部分,旨在为云原生应用程序提供安全功能,其中包括提出 IaC 文件问题。我们这边的工作才刚刚开始,所以不要指望这会很快发生,而是从第三季度开始。

编辑 2022 年 1 月:SonarQube 和 SonarCloud 现在支持对 AWS + Azure 的 CloudFormation 和 Terraform 进行分析(GPC 将于 2022 年第一季度推出)。详情请参阅公告:

关于azure - 我们可以使用 sonarqube 通过 azure devops ci/cd 管道从 Terraform 扫描(基础设施即代码)IaC 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67191208/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com