近日,软件安全解决方案供应商 Checkmarx 推出了一个新的开源静态分析工具 KICS,旨在让开发人员编写更安全的 IaC( infrastructure-as-code,基础设施即代码)。新的 KICS(Keeping Infrastructure as Code Secure,保持基础设施即代码安全)解决方案扩展了 Checkmarx 的 AST( application security testing ,应用安全测试)产品线,为传统和云原生应用的专有代码、开源组件和关键基础设施的安全提供单一平台。
IaC 是 "描述性模型 "中基础设施的管理者,每次应用时都会产生相同的环境。它的出现是为了解决发布管道中的环境漂移问题,并且已经成为支持持续交付的关键 DevOps 实践。
而 KICS 工具的设计目的是为了从 IaC 构建周期开始就自动检测漏洞、硬编码密钥和密码、合规性问题和错误配置,从而使开发人员在其代码达到生产之前就可以修补这些缺陷。这个版本的 KICS 工具支持一系列 IaC 技术,包括 Terraform、Kubernetes、Docker、AWS CloudFormation 和 Ansible。KICS 还提供了1200多个可定制和可调整的查询,涵盖了从加密和密钥管理到网络端口安全等十多个类别。
Checkmarx 是开源的坚定倡导者,其希望 KICS 能成为每个开发人员的云原生安全工具包的重要补充。