Habilidades iac-checkov
🛡️
iac-checkov
Seguro 🌐
Acesso à rede📁
Acesso ao sistema de arquivos🔑
Variáveis de ambiente⚙️
Comandos externos
Scanner l'Infrastructure en tant que Code pour la Sécurité
La révision manuelle des fichiers Terraform, Kubernetes et CloudFormation ne détecte pas les erreurs de configuration critiques. Cette compétence intègre Checkov pour analyser automatiquement l'IaC avec plus de 750 politiques de sécurité, détectant les lacunes de chiffrement, les accès excessivement permissifs et les violations de conformité avant le déploiement.
Suporta: Claude Codex Code(CC)
1
Baixar o ZIP da skill
2
Upload no Claude
Vá em Configurações → Capacidades → Skills → Upload skill
3
Ative e comece a usar
Testar
A utilizar "iac-checkov". Analyser mes fichiers Terraform pour des problèmes de sécurité
Resultado esperado:
- CRITICAL: Le bucket S3 permet l'accès public (CKV_AWS_93)
- Fichier: terraform/s3.tf:15
- Problème: BlockPublicAcls est défini à false
- Correction: Définir block_public_acls = true dans PublicAccessBlockConfiguration
- HIGH: Le groupe de sécurité permet 0.0.0.0/0 sur le port 22 (CKV_AWS_23)
- Fichier: terraform/security.tf:28
- Problème: La règle Ingress autorise SSH depuis n'importe quelle IP
- Correction: Restreindre cidr_blocks à la plage VPN d'entreprise
- Résumé: 2 CRITICAL, 1 HIGH, 3 MEDIUM résultats
A utilizar "iac-checkov". Vérifier les pods Kubernetes pour l'escalade de privilèges
Resultado esperado:
- HIGH: Le pod permet l'escalade de privilèges (CKV_K8S_30)
- Fichier: k8s/app-pod.yaml:12
- Problème: securityContext.allowPrivilegeEscalation est true
- Correction: Définir allowPrivilegeEscalation = false
- MEDIUM: Le conteneur s'exécute en tant que root (CKV_K8S_20)
- Fichier: k8s/app-pod.yaml:8
- Problème: securityContext.runAsNonRoot n'est pas défini
- Correction: Définir runAsNonRoot = true et runAsUser > 1000
Auditoria de Segurança
Segurov5 • 1/16/2026
Documentation-only skill with no executable code. Contains YAML configuration templates and markdown guides for Checkov, an open-source IaC security scanner. All 300 static findings are false positives caused by scanner misinterpreting documentation text (check IDs, URLs, security examples) as malicious patterns.
10
Arquivos analisados
2,694
Linhas analisadas
4
achados
5
Total de auditorias
Fatores de risco
🌐 Acesso à rede (39)
assets/checkov_config.yaml:75 assets/pre_commit_config.yaml:9 assets/pre_commit_config.yaml:30 assets/pre_commit_config.yaml:50 assets/pre_commit_config.yaml:63 assets/pre_commit_config.yaml:76 assets/pre_commit_config.yaml:87 references/compliance_mapping.md:232 references/compliance_mapping.md:233 references/compliance_mapping.md:234 references/compliance_mapping.md:235 references/compliance_mapping.md:236 references/compliance_mapping.md:237 references/compliance_mapping.md:14 references/custom_policies.md:210 references/custom_policies.md:287 references/custom_policies.md:458 references/custom_policies.md:459 references/custom_policies.md:460 references/suppression_guide.md:430 references/suppression_guide.md:431 references/suppression_guide.md:29 references/suppression_guide.md:188 references/suppression_guide.md:198 references/suppression_guide.md:340 skill-report.json:6 skill-report.json:133 SKILL.md:19 SKILL.md:20 SKILL.md:21 SKILL.md:285 SKILL.md:666 SKILL.md:667 SKILL.md:668 SKILL.md:669 SKILL.md:670 SKILL.md:671 SKILL.md:366 SKILL.md:611
📁 Acesso ao sistema de arquivos (3)
🔑 Variáveis de ambiente (1)
⚙️ Comandos externos (184)
assets/github_actions.yml:183-192 assets/github_actions.yml:156 assets/github_actions.yml:157 assets/gitlab_ci.yml:111 assets/gitlab_ci.yml:142 assets/gitlab_ci.yml:143 assets/gitlab_ci.yml:187 references/compliance_mapping.md:176-185 references/compliance_mapping.md:185-189 references/compliance_mapping.md:189-197 references/compliance_mapping.md:197-201 references/compliance_mapping.md:201-205 references/compliance_mapping.md:205-209 references/compliance_mapping.md:209-215 references/custom_policies.md:16-48 references/custom_policies.md:48-52 references/custom_policies.md:52-91 references/custom_policies.md:91-95 references/custom_policies.md:95-122 references/custom_policies.md:122-128 references/custom_policies.md:128-142 references/custom_policies.md:142-146 references/custom_policies.md:146-170 references/custom_policies.md:170-174 references/custom_policies.md:174-192 references/custom_policies.md:192-198 references/custom_policies.md:198-243 references/custom_policies.md:243-247 references/custom_policies.md:247-261 references/custom_policies.md:261-267 references/custom_policies.md:267-278 references/custom_policies.md:278-282 references/custom_policies.md:282-291 references/custom_policies.md:291-297 references/custom_policies.md:297-336 references/custom_policies.md:336-340 references/custom_policies.md:340-350 references/custom_policies.md:350-356 references/custom_policies.md:356-375 references/custom_policies.md:375-379 references/custom_policies.md:379-396 references/custom_policies.md:396-400 references/custom_policies.md:400-419 references/custom_policies.md:419-423 references/custom_policies.md:423-425 references/custom_policies.md:425-435 references/custom_policies.md:435-444 references/custom_policies.md:444-448 references/custom_policies.md:448-454 references/suppression_guide.md:11-32 references/suppression_guide.md:32-36 references/suppression_guide.md:36-50 references/suppression_guide.md:50-54 references/suppression_guide.md:54-67 references/suppression_guide.md:67-73 references/suppression_guide.md:73-94 references/suppression_guide.md:94-98 references/suppression_guide.md:98-107 references/suppression_guide.md:107-113 references/suppression_guide.md:113-140 references/suppression_guide.md:140-144 references/suppression_guide.md:144-160 references/suppression_guide.md:160-166 references/suppression_guide.md:166-179 references/suppression_guide.md:179-183 references/suppression_guide.md:183-201 references/suppression_guide.md:201-205 references/suppression_guide.md:205-214 references/suppression_guide.md:214-218 references/suppression_guide.md:218-227 references/suppression_guide.md:227-235 references/suppression_guide.md:235-244 references/suppression_guide.md:244-248 references/suppression_guide.md:248-262 references/suppression_guide.md:262-266 references/suppression_guide.md:266-281 references/suppression_guide.md:281-285 references/suppression_guide.md:285-296 references/suppression_guide.md:296-302 references/suppression_guide.md:302-306 references/suppression_guide.md:306-310 references/suppression_guide.md:310-316 references/suppression_guide.md:316-320 references/suppression_guide.md:320-329 references/suppression_guide.md:329-333 references/suppression_guide.md:333-343 references/suppression_guide.md:343-349 references/suppression_guide.md:349-358 references/suppression_guide.md:358-362 references/suppression_guide.md:362-418 references/suppression_guide.md:133 references/suppression_guide.md:113-140 SKILL.md:39-48 SKILL.md:48-52 SKILL.md:52-61 SKILL.md:61-65 SKILL.md:65-71 SKILL.md:71-75 SKILL.md:75-78 SKILL.md:78-86 SKILL.md:86-93 SKILL.md:93-105 SKILL.md:105-117 SKILL.md:117-131 SKILL.md:131-144 SKILL.md:144-156 SKILL.md:156-163 SKILL.md:163-165 SKILL.md:165-178 SKILL.md:178-180 SKILL.md:180-186 SKILL.md:186-207 SKILL.md:207-211 SKILL.md:211-213 SKILL.md:213-215 SKILL.md:215-221 SKILL.md:221-234 SKILL.md:234-243 SKILL.md:243-251 SKILL.md:251-276 SKILL.md:276-282 SKILL.md:282-291 SKILL.md:291-295 SKILL.md:295-298 SKILL.md:298-302 SKILL.md:302-316 SKILL.md:316-320 SKILL.md:320-342 SKILL.md:342-344 SKILL.md:344-352 SKILL.md:352-361 SKILL.md:361-374 SKILL.md:374-383 SKILL.md:383-398 SKILL.md:398-404 SKILL.md:404-410 SKILL.md:410-419 SKILL.md:419-427 SKILL.md:427-432 SKILL.md:432-438 SKILL.md:438-443 SKILL.md:443-454 SKILL.md:454-464 SKILL.md:464-469 SKILL.md:469-479 SKILL.md:479-481 SKILL.md:481-482 SKILL.md:482-483 SKILL.md:483-484 SKILL.md:484-485 SKILL.md:485-486 SKILL.md:486-488 SKILL.md:488-490 SKILL.md:490-491 SKILL.md:491-492 SKILL.md:492-493 SKILL.md:493-494 SKILL.md:494-495 SKILL.md:495-497 SKILL.md:497-499 SKILL.md:499-500 SKILL.md:500-501 SKILL.md:501-502 SKILL.md:502-503 SKILL.md:503-504 SKILL.md:504-505 SKILL.md:505-513 SKILL.md:513-525 SKILL.md:525-531 SKILL.md:531-538 SKILL.md:538-544 SKILL.md:544-554 SKILL.md:554-560 SKILL.md:560-572 SKILL.md:572-591 SKILL.md:591-597 SKILL.md:597-603 SKILL.md:603-614 SKILL.md:614-620 SKILL.md:620-629 SKILL.md:629-635 SKILL.md:635-646 SKILL.md:646-652 SKILL.md:652-662
Auditado por: claude Ver Histórico de Auditoria →
Pontuação de qualidade
59
Arquitetura
100
Manutenibilidade
87
Conteúdo
21
Comunidade
100
Segurança
96
Conformidade com especificações
O Que Você Pode Construir
Portes de Sécurité CI/CD
Bloquer les déploiements avec des problèmes de sévérité CRITICAL ou HIGH en intégrant les analyses Checkov dans les pipelines GitHub Actions ou GitLab CI.
Mapping de Conformité
Générer des rapports mappant les résultats IaC aux exigences CIS, PCI-DSS, HIPAA et SOC2 pour la préparation aux audits.
Application de Politiques Personnalisées
Définir des politiques de sécurité spécifiques à l'organisation qui vont au-delà des vérifications intégrées pour appliquer les conventions de nommage et les exigences de tagging.
Tente Estes Prompts
Analyse Terraform de Base
Exécuter Checkov pour analyser mes fichiers Terraform dans le répertoire infrastructure/. Afficher tous les résultats HIGH et CRITICAL avec les chemins de fichiers, les numéros de ligne et les conseils de remédiation.
Sécurité Kubernetes
Analyser les manifestes Kubernetes dans le répertoire k8s/ avec Checkov. Se concentrer sur les standards de sécurité des pods, les risques d'escalade de privilèges et les problèmes de contexte de sécurité des conteneurs.
Rapport de Conformité
Exécuter une analyse de conformité Checkov contre le benchmark CIS AWS Foundations. Générer un rapport JSON et résumer quels contrôles passent et lesquels échouent.
Politique Personnalisée
M'aider à écrire une politique Checkov personnalisée en Python qui garantit que tous les buckets S3 ont le chiffrement activé et sont bloqués de l'accès public. Inclure la logique de vérification et comment la charger.
Melhores Práticas
- Exécuter Checkov sur chaque PR qui modifie des fichiers IaC pour détecter les problèmes tôt
- Commencer avec le mode --soft-fail pour construire la sensibilisation de l'équipe avant d'appliquer les portes
- Utiliser des fichiers de base pour suivre la progression de la remédiation sans bloquer sur la dette existante
- Documenter les suppressions légitimes avec les numéros de tickets et la justification commerciale
Evitar
- Utiliser des suppressions génériques (skip-check: *) au lieu de cibler des ressources spécifiques
- Ignorer tous les résultats LOW sans les examiner pour le contexte
- Exécuter les analyses uniquement dans les pipelines de production au lieu des workflows développeur
- Ignorer les faux positifs au lieu d'affiner les politiques ou d'ajouter des suppressions
Perguntas Frequentes
Est-ce que Checkov scanne les fichiers d'état Terraform?
Non, Checkov analyse les fichiers .tf et la configuration. Utilisez tfsec ou Trivy pour l'analyse des fichiers d'état et de plan.
Quels fournisseurs cloud sont supportés?
AWS, Azure, GCP, OCI, Alibaba Cloud et Kubernetes. Support de Terraform, CloudFormation, ARM et Docker.
Comment intégrer avec les CI/CD existants?
Utilisez bridgecrewio/checkov-action pour GitHub Actions ou l'image Docker pour GitLab CI, Jenkins et Azure DevOps.
Est-ce que des identifiants sont requis pour analyser l'IaC?
Non, Checkov effectue une analyse statique. Les identifiants du fournisseur cloud sont uniquement nécessaires pour les téléchargements de modules.
Pourquoi est-ce que je vois des faux positifs?
Ajoutez des suppressions en ligne avec des justifications. Mettez à jour vers la dernière version de Checkov qui améliore la précision.
Comment est-ce que ça se compare à tfsec ou Terrascan?
Checkov a plus de politiques et une meilleure support multi-cloud. Il utilise une analyse basée sur les graphes pour comprendre les relations entre ressources.