
文章目录tfsecTerraform 代码安全扫描一个命令的事一句话用法支持所有主流云平台安装方式多实用功能不少CI 集成现状tfsecTerraform 代码安全扫描一个命令的事Terraform 写起来爽但安全配置容易漏。开个 S3 桶忘了加密、安全组规则设成 0.0.0.0/0这些坑很多人都踩过。tfsec 就是干这个的——用静态分析扫描你的 Terraform 代码找出潜在的安全配置问题。项目地址https://github.com/aquasecurity/tfsec一句话用法tfsec .没别的安装完直接扫描当前目录。发现问题会高亮标出来告诉你哪行代码有风险、风险等级、建议怎么改。没问题就静默退出返回零状态码。支持所有主流云平台AWS、Azure、GCP、Kubernetes甚至 Oracle Cloud、DigitalOcean 都在覆盖范围内。内置了几百条检查规则涵盖存储桶权限、网络访问控制、IAM 策略这些常见的安全配置项。还能自动解析 Terraform 的 HCL 表达式比如concat()、count、for_each这些动态逻辑规则会对真实展开的值做判断不是死板匹配。安装方式多Homebrew、Chocolatey、Scoop 都能装Linux 有安装脚本Docker 镜像也有docker run --rm -it -v $(pwd):/src aquasec/tfsec /srcIDE 方面VSCode、JetBrains、Vim 都有插件支持写代码的时候就能看到安全提示。实用功能不少支持忽略特定规则在代码行上加注释就行#tfsec:ignore:aws-s3-enable-bucket-encryption可以设过期时间忽略不能永久有效#tfsec:ignore:aws-s3-enable-bucket-encryption:exp:2025-01-02输出格式支持 JSON、SARIF、CSV、JUnit 等方便接入 CI 流程支持 Rego 自定义规则通过--tfvars-file参数扫描时带 .tfvars 里的变量值CI 集成GitHub Actions 和 Azure DevOps 都有官方集成。扫描结果可以直接上传到 GitHub Security 的告警页面在代码仓库的 Security 标签页里查看。Thoughtworks 的技术雷达也给 tfsec 打了 Adopt 级别推荐。现状Aqua Security 已经将重心转移到 Trivy 上tfsec 的扫描能力已经整合进了 Trivy。存量用户建议迁移但 tfsec 本身仍然可用代码开源、社区活跃。如果你还在用 Terraform 且没把安全扫描加进 CI可以试试。然可用代码开源、社区活跃。如果你还在用 Terraform 且没把安全扫描加进 CI可以试试。