KICS: یک ابزار SAST سازگار با توسعه دهنده برای تأمین زیرساخت ها به عنوان کد

در دوره ابر بومی ، که در آن سرعت ، مقیاس پذیری و اتوماسیون حاکم است ، زیرساخت ها به عنوان کد (IAC) به عنوان یک عمل مهم برای تیم های مهندسی DevOps و پلتفرم ظاهر شده است. ابزارهایی مانند شکلبا برمهوت Opentofu اجازه دهید زیرساخت ها با همان سخت گیری کد برنامه تعریف ، نسخه و مستقر شوند.

اما درست مانند هر کد دیگر ، کد زیرساخت مستعد است سوء استفاده های نادرست ، خطاها و آسیب پذیری هابشر یک گروه امنیتی اشتباه و یا سطل ذخیره سازی در دسترس عموم می تواند منجر به ویرانگر نقض داده ها شود. اینجاست ابزارهای SAST برای IAC نقش حیاتی ایفا کنید.

در میان بسیاری از ابزارهای منبع باز موجود ، KICS (نگه داشتن زیرساخت ها به عنوان کد امن) برای آن ایستاده است وسعت پشتیبانیبا سهولت استفادهوت موتور قوانین محور جامعهبشر در این مقاله ، ما بررسی خواهیم کرد که KICS چیست ، چگونه کار می کند و چگونه می توان آن را برای یک پروژه IAC در دنیای واقعی برای جلوگیری از مسائل امنیتی اعمال کرد قبل از استقراربشر

k Kics چیست؟

Kics یک ابزار تجزیه و تحلیل کد استاتیک منبع باز است که توسط کماندار برای اسکن پرونده های IAC و تشخیص آسیب پذیری های امنیتی و اشتباهات نادرست. انجام می دهد تجزیه و تحلیل استاتیک، به این معنی که کد را بدون اجرای آن تجزیه و تحلیل می کند. این باعث می شود سریع ، ایمن و ایده آل برای مراحل اولیه توسعه باشد.

فن آوری های پشتیبانی شده عبارتند از:

• ✅ شکل
• ✅ برمه
• ✅ شکل ابری
• ✅ کربن
• ✅ غیر قابل انکار
• ✅ داک
• ✅ الگوهای بازوی لاجورد

با 1500+ پرس و جوهای امنیتی از پیش ساخته شده، چک های KICS برای:

• بنادر را به اینترنت عمومی باز کنید
• ذخیره بدون رمز
• رازهای رمزگذاری شده
• خطرات تشدید امتیاز
• خط مشی های IAM را نادرست تنظیم کنید

⚙ نحوه کار Kics

KICS کد زیرساخت شما را اسکن می کند و آن را با پایگاه داده ای از قوانین غلط پیکربندی که در YAML یا JSON نوشته شده است مقایسه می کند. هر یافته شامل:

• 🔎 توصیف آسیب پذیری
• 🔒 زمینه امنیتی (معیارهای CIS و غیره)
• 📍 نام و شماره خط
• 🛠 اصلاح پیشنهادی
• ⚠ شدت (کم ، متوسط ​​، زیاد ، بحرانی)

از طریق:

• داکر (checkmarx/kics)
• CLI (kics scan -p ./path)
• اقدامات GitHub / Gitlab / Jenkins

🚧 مثال: اسکن Terraform

در اینجا یک پیکربندی نادرست در Terraform آورده شده است:

resource "aws_security_group" "open_sg" {
  name        = "open-sg"
  description = "Allow SSH from all"
  ingress {
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

Run Kics:
docker run -v $(pwd):/path checkmarx/kics:latest scan -p /path


خروجی:
[CRITICAL] aws_security_group.open_sg allows 0.0.0.0/0 for SSH
Remediation: Restrict to known IPs only.


مثال ادغام CI/CD (اقدامات GitHub)
`نام: اسکن KICS

در:
فشار:
شاخه ها:
– اصلی

مشاغل:
KICS-SCAN:
Runs-on: اوبونتو-لاتین
مراحل:
– استفاده ها: Actions/Checkout@v2
– نام: Run Kics Scan
موارد استفاده: checkmarx/kics-action@v1
با:
مسیر: './'
`

📊 قالب بندی گزارش

KICS پشتیبانی می کند:

JSON: برای اتوماسیون

HTML: برای انسان

SARIF: برای امنیت پیشرفته Github

به راحتی به داشبوردهای امنیتی یا سیستم های بلیط خود صادر کنید.

✅ tl ؛ دکتر:

KICS کد IAC (Terraform ، Pulumi ، K8S ، Docker و غیره) را برای آسیب پذیری ها و اشتباهات نادرست اسکن می کند. این منبع باز ، سریع ، از CI/CD پشتیبانی می کند و به شما کمک می کند تا قبل از استقرار مشکلات را برطرف کنید. خداحافظی از استقرار ابر ناامن!