保持基础设施即代码的安全(KICS)是一个用于IaC静态代码分析的开源解决方案。
KICS可自动解析常见的任何类型的IaC文件,以检测可能会使您的应用程序、数据或服务遭受攻击的不安全配置。
这意味着,您可以让您团队里的任何一个人编写IaC文件,然后在发布之前对文件进行审查,以确保其安全性。不同于简单地在IT治理策略中制定安全指导方针并希望工程师和开发人员在创建IaC文件时加以遵循的做法,您可以使用KICS自动强制执行IaC安全要求。
而且,由于KICS是一个开源工具,支持Terraform、CloudFormation、Ansible、Helm等所有主流IaC平台,并且可与各种软件开发工具集成,因此使得可以毫无摩擦地将IaC安全扫描融入您现有的工作流程。现在,您的开发人员不必为了确保IaC安全而放慢开发速度。
KICS不只是用于保护单个IaC文件的工具,同时还可用于进一步评估整个API设计中的配置错误,帮助您识别路径定义、身份验证模式和传输加密中的风险。
这意味着,您可以为您的组织设置API安全标准,并通过IaC扫描加以执行。而且,由于KICS可在应用程序构建时自动运行扫描,因此您可以系统地审查您的API,同时不会延缓软件交付流程的速度。
您可以充分利用API的优势,确保其可以随时间推移而发展,以满足不断变化的需求,而不会使您的应用程序暴露于API安全缺陷。
KICS可发现流行的基础架构即代码解决方案和OpenAPI 3.0规范等中的安全漏洞、合规性问题以及基础架构配置错误。
KICS是开源的,而且永远都是。扫描引擎和安全查询清晰易懂,而且均对软件开发社区开放。
KICS的1500多条完全可定制、可调整的启发式规则或查询可以轻松进行编辑、扩展和添加。更重要的是,我们拥有可靠而简单的架构支持新的IaC解决方案。
KICS是一个社区项目。它从最初就是作为一个开源项目来设计和构建的,任何人都可以以自己的方式为其做出贡献。您只需要几分钟时间就能开始发挥积极作用,与我们社区成千上万的安全专家和软件开发人员分享您的专业知识。
行业
