Checkov Docker 镜像文档

一、镜像概述

1.1 主要用途

Checkov Docker 镜像是基于 Alpine Linux 构建的容器化部署方案，用于运行 Checkov——一款开源的基础设施即代码（IaC）静态代码分析工具。该工具可识别 Terraform、CloudFormation、Kubernetes 等 IaC 框架中的配置错误、安全风险及合规问题，帮助开发者和 DevOps 团队在开发与部署流程中维护基础设施的安全性与合规性。

1.2 维护与支持

• 维护者：Oowy 团队
• 支持渠道：
  • Docker 社区 Slack：dockr.ly/comm-slack
  • Server Fault：serverfault.com/help/on-topic
  • Unix & Linux：unix.stackexchange.com/help/on-topic
  • Stack Overflow：stackoverflow.com/help/on-topic

二、核心功能与特性

2.1 Checkov 核心功能

• 多框架支持：静态分析 Terraform、CloudFormation、Kubernetes、Dockerfile 等主流 IaC 配置文件。
• 安全与合规检查：内置数百条安全策略（如 AWS 安全组开放过宽、S3 桶未加密等），支持自定义策略扩展。
• 自动化扫描：集成到开发流程中，早期识别漏洞，减少生产环境风险。
• 报告生成：支持 JSON、JUnit 等多种报告格式，便于集成到 CI/CD 工具（如 Jenkins、GitHub Actions）。

2.2 镜像特性

• 轻量级基础：基于 Alpine Linux 3.19，镜像体积小，资源占用低。
• 版本化标签：提供精确版本标签（如 3.2.268-alpine3.19），确保部署一致性。
• 多架构支持：兼容 amd64 和 arm64v8 架构，适应不同硬件环境。

三、支持的标签与架构

3.1 标签列表

基于 Alpine Linux 3.19，支持以下标签（仅列举部分，完整版本可参考***仓库）：

• latest（默认，指向最新稳定版）
• 3.2.268-alpine3.19、3.2.267-alpine3.19、...、3.2.260-alpine3.19
• 3.2.259-alpine3.19、3.2.258-alpine3.19、...、3.2.250-alpine3.19
• 3.2.249-alpine3.19、...、3.2.240-alpine3.19（以此类推，覆盖 3.2.x 系列版本）
• 历史版本：3.2.129-alpine3.19、3.2.109-alpine3.19、3.2.99-alpine3.19 等

3.2 支持架构

• amd64（x86_64 架构）
• arm64v8（ARM 64 位架构）

四、使用场景与适用范围

• 开发阶段检查：开发者本地扫描 IaC 代码，提前发现配置错误。
• CI/CD 集成：在流水线中自动扫描提交的配置文件，阻止不合规代码合并。
• 合规审计：定期扫描现有基础设施配置，生成合规报告。
• 隔离环境需求：需通过容器隔离 Checkov 运行环境，避免依赖冲突。

五、使用方法

5.1 基本使用（Docker Run）

通过 docker run 命令直接运行 Checkov，传递子命令和参数：

示例 1：查看版本

bash
docker run --rm oowy/checkov:latest --version

示例 2：扫描本地 Terraform 目录

挂载本地 IaC 文件到容器内，指定工作目录并执行扫描：

bash
# 假设当前目录为 Terraform 项目根目录
docker run --rm -v $(pwd):/tf -w /tf oowy/checkov:3.2.268-alpine3.19 scan -d .

• -v $(pwd):/tf：将本地当前目录挂载到容器内 /tf 路径。
• -w /tf：设置容器工作目录为 /tf，确保 Checkov 能访问挂载的配置文件。
• scan -d .：Checkov 扫描当前目录（.）下的 IaC 文件。

5.2 高级配置（环境变量与凭据）

Checkov 需访问云服务商凭据（如 AWS、Azure）以解析资源配置，可通过环境变量或挂载凭据文件传递：

示例：传递 AWS 凭据

bash
docker run --rm \
  -v $(pwd):/tf -w /tf \
  -e AWS_ACCESS_KEY_ID=AKIAEXAMPLE \
  -e AWS_SECRET_ACCESS_KEY=secret \
  oowy/checkov:latest scan -d . --framework terraform

示例：挂载凭据文件（如 ~/.aws/credentials）

bash
docker run --rm \
  -v $(pwd):/tf -w /tf \
  -v ~/.aws/credentials:/root/.aws/credentials:ro \
  oowy/checkov:latest scan -d .

5.3 Docker Compose 配置

创建 docker-compose.yml 集成到项目中：

yaml
version: '3.8'
services:
  checkov:
    image: oowy/checkov:3.2.268-alpine3.19
    volumes:
      - ./terraform:/tf  # 挂载本地 Terraform 目录
      - ~/.aws/credentials:/root/.aws/credentials:ro  # 挂载 AWS 凭据（可选）
    working_dir: /tf
    command: scan -d . --output junitxml  # 输出 JUnit 格式报告

运行：docker-compose run --rm checkov

六、配置说明

6.1 关键参数

• 挂载目录：通过 -v <本地路径>:<容器路径> 挂载 IaC 配置文件（如 Terraform 代码、CloudFormation 模板）。
• 工作目录：通过 -w <容器路径> 指定 Checkov 工作目录，需与挂载路径一致。
• 环境变量：通过 -e <KEY>=<VALUE> 传递云服务商凭据、代理设置等（如 HTTP_PROXY）。
• 自定义策略：挂载自定义策略目录（如 -v ./custom-policies:/policies），并通过 --external-checks-dir /policies 加载。

6.2 注意事项

• 生产环境建议：避免使用 latest 标签，指定具体版本（如 3.2.268-alpine3.19）以确保稳定性。
• 文件权限：容器内默认使用 root 用户，挂载目录需确保权限允许读取（如本地文件权限 chmod 755）。

七、社区支持

• Issue 提交：Checkov 功能或镜像相关问题，可在 Checkov 主仓库 提交 issue。
• 文档参考：详细使用指南见 Checkov ***文档。