Checkov中跳过安全检查的正确使用方式

问题背景

在使用Checkov进行基础设施即代码(IaC)安全检查时，开发者经常会遇到需要跳过某些检查项的情况。Checkov提供了跳过检查的功能，但需要正确使用才能生效。本文通过一个实际案例，详细讲解如何正确跳过Checkov的特定检查项。

案例解析

在Azure存储账户资源的Terraform代码中，开发者尝试跳过CKV2_AZURE_206检查项，但发现无论如何配置都无法生效。检查结果仍然显示该检查项失败。

开发者尝试了多种跳过方式：

1. 在资源块内部添加单行跳过注释
2. 在已有跳过命令的资源块中添加双跳过注释
3. 在checkov扫描配置文件中添加跳过参数

但所有这些尝试都未能成功跳过CKV_AZURE_206检查。

问题根源

经过分析，问题的根本原因在于检查ID的版本号不匹配。开发者尝试跳过的是"CKV2_AZURE_206"，而实际运行的检查ID是"CKV_AZURE_206"。Checkov对检查ID的版本号非常敏感，必须完全匹配才能正确跳过。

解决方案

正确的做法是使用与检查输出完全一致的检查ID。在本案例中，应该使用"CKV_AZURE_206"而非"CKV2_AZURE_206"。

以下是正确的跳过方式示例：

1. 在Terraform资源块内部跳过：

resource "azurerm_storage_account" "this" {
  # checkov:skip=CKV_AZURE_206: 不需要此检查的原因说明
  name = var.name
  # 其他配置...
}

2. 在命令行中跳过：

checkov -d ./ --framework terraform --skip-check CKV_AZURE_206

3. 在配置文件中跳过：

skip_check:
  - CKV_AZURE_206

最佳实践

1. 检查ID准确性：始终使用Checkov输出中显示的完整检查ID，包括正确的版本号前缀。

2. 注释清晰：在跳过注释中添加明确的理由说明，便于后续维护。

3. 最小化跳过：只跳过确实不需要的检查项，避免过度使用跳过功能影响安全性。

4. 版本兼容性：注意Checkov不同版本间检查ID可能的变化，定期检查跳过规则的有效性。

总结

Checkov的安全检查跳过功能虽然简单，但需要注意细节才能正确使用。通过本案例，我们了解到检查ID的准确性是关键。开发者在使用跳过功能时，应该仔细核对Checkov输出中的检查ID，确保完全匹配，这样才能有效管理基础设施代码的安全检查策略。