我们可以使用 SonarQube 通过 Azure DevOps CI/CD 管道扫描 Terraform 脚本吗？

Question

我们可以使用 SonarQube 通过 Azure DevOps CI/CD 管道扫描 Terraform 脚本吗？

我们是否可以使用 SonarQube 通过 Azure DevOps CI/CD 管道扫描 Terraform 代码（以创建 Azure 基础设施，例如 RBAC、PIM、允许的位置等）以查找错误和漏洞？

我找到了一些链接但不确定？

https://registry.terraform.io/providers/jdamata/sonarqube/latest/docs/resources/sonarqube_qualitygate_project_association

Answer 1

Ale*_*rce 9

我确认 SonarSource（SonarQube、SonarCloud、SonarLint）尚未提供任何扫描 IaC 文件（Terraform、CloudFormation 等）的功能。这是我们 2021 年路线图的一部分，旨在为云原生应用程序提供安全功能，其中包括提出 IaC 文件问题。我们这边的工作才刚刚开始，所以不要指望这会很快发生，而是从第三季度开始。

2022 年 1 月编辑：SonarQube 和 SonarCloud 现在支持对 AWS + Azure 的 CloudFormation 和 Terraform 进行分析（GPC 将于 2022 年第一季度推出）。详情请见公告：

医生在哪里！？我找不到任何解释如何实际使用 sonarcloud 扫描 terraform 文件的内容。我是否只需创建一个新项目，它就会自动读取源代码？ (3认同)

Answer 2

小智 1

没有用于分析 Terraform 代码的 SonarQube 插件。您可以使用 Terrascan 或 TFLint 作为静态分析工具。

https://github.com/accurics/terrascan

https://github.com/terraform-linters/tflint

归档时间：	4 年，10 月前
查看次数：	7510 次
最近记录：	2 年前