Infrastructure as Code: Checkmarx veröffentlicht statische Codeanalyse KICS

Die Open-Source-Software mit dem Namen Keeping Infrastructure as Code Secure sucht nach Schwachstellen in IaC.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Timofeev Vladimir/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Das israelische, auf Security im DevOps-Umfeld spezialisierte Unternehmen Checkmarx hat sein Portfolio um die auf Infrastructure as Code (IaC) ausgelegte Software KICS erweitert. Das Akronym steht für Keeping Infrastructure as Code Secure. Die Open-Source-Anwendung sucht über statische Codeanalyse nach Schwachstellen wie im Code abgelegten Schlüsseln oder Passwörtern im Klartext.

Gerade im Cloud-nativen Umfeld, aber auch im klassischen Rechenzentrum erfreut sich das als IaC bezeichnete Bereitstellen und Verwalten der Infrastruktur über Code zunehmender Beliebtheit. Vorteile sind unter anderem die einfache Anbindung von Vorgehensweisen aus der Softwareentwicklung wie Versionierung.

Das Tool KICS untersucht den Code mit Methoden der statischen Codeanalyse nach Schwachstellen wie Fehlkonfigurationen, um vor allem das Risiko für Datenlecks zu reduzieren. Die Software sucht unter anderem nach hartkodierten Passwörtern oder Schlüsseln im Code. Außerdem soll sie fehlerhafte Konfigurationen und Compliance-Probleme aufspüren.

Die Software lässt sich in den CI/CD-Prozess (Continuous Integration, Continuous Delivery) einbinden, um von Anfang an und bei jeder Änderung den Code zu scannen. KICS bietet dafür eine Integration in GitHub Actions und GitLab CI.

Sowohl die Scanning-Engine als auch die als Abfragen (Queries) bezeichneten heuristischen Regeln für KICS liegen als Open-Source-Projekt vor. Erklärtes Ziel ist die Weiterentwicklung unter Einbeziehung von Security- und DevOps-Experten sowie Softwareentwicklern. Daneben stellt Checkmarx ein dediziertes Team bereit, das sich um die Pflege des Projekts kümmern soll.

KICS nomalisisert plattformspezifische IaC-Anweisungen in JSON, und die Query Execution Engine führt Rego-Abfragen aus.

(Bild: Checkmarx)

Die Abfragen zum Aufspüren von Schwachstellen decken wohl von Haus aus mehr als ein Dutzend grundlegende Kategorien wie Verschlüsselung, Port-Security und Schlüsselverwaltung ab. KICS bietet für die Queries eine Art Library, die auf flexibles Anpassen und Erweiterbarkeit ausgelegt ist. Laut Checkmarx können Entwicklerinnen und Entwickler einfach neue IaC-Werkzeuge in den Prozess einbinden.

Zum Start existieren gut 1000 Queries und KICS sucht nach Schwachstellen in IaC für Ansible, AWS CloudFormation, Docker, Kubernetes und Terraform.

Weitere Details lassen sich der offiziellen Ankündigung entnehmen. Einen tieferen Einblick verspricht die Dokumentation, und der Sourcecode ist auf GitHub zu finden.

(rme)