
TerraWatch
terrawatch.co
在PR中守护Terraform安全
1个月前制作者:alejny
关于 TerraWatch
TerraWatch 是一款深度集成于 GitHub Pull Request 工作流的 Terraform 安全扫描工具,旨在帮助 DevOps 团队在代码合并前发现并修复基础设施即代码(IaC)中的安全风险。无需复杂的 YAML 配置、命令行操作或额外工具如 Checkov,只需两分钟设置,即可在每次 PR 提交时自动扫描变更的 Terraform 文件,并在 PR 评论中直接给出精确的代码修复建议。
核心功能
TerraWatch 的核心在于将安全扫描无缝嵌入开发流程。当开发者提交 Terraform 变更时,TerraWatch 自动检测硬编码的敏感信息(如 AWS 密钥、数据库密码等)、不安全的资源配置(如公开 S3 存储桶、未加密的 RDS 实例)以及其他违反 29 条 AWS 最佳实践规则的问题。发现问题后,它会阻止 PR 合并,并在 PR 评论区以代码 diff 形式展示修复方案,确保开发者无需离开 GitHub 即可完成修复。
主要特性
- 零配置集成:无需 YAML、CLI 或额外代理,2 分钟完成 GitHub App 安装,自动监听 PR 事件。
- 精准的代码级修复建议:直接在 PR 评论中显示硬编码差异,而非 AI 生成的模糊建议,确保修复准确可靠。
- 安全审查控制:所有修复建议均需人工审核,不会自动应用任何更改,保障团队对基础设施变更的完全掌控。
- 轻量级扫描:仅读取 PR 中变更的
.tf文件,不扫描整个代码库,保护代码隐私并提升扫描速度。 - 专注 AWS 规则:内置 29 条针对 AWS 资源的专业安全规则,覆盖常见配置错误。
适用场景
TerraWatch 特别适合使用 Terraform 管理 AWS 基础设施的团队,尤其是那些希望在不增加工具链复杂性的前提下,将安全左移、在代码审查阶段自动拦截安全问题的 DevOps 和平台工程团队。目前处于 Beta 阶段,完全免费使用。