Checkov项目中CKV_GCP_73规则误报问题分析

在Checkov项目的安全扫描过程中，用户报告了CKV_GCP_73规则存在误报问题。该规则主要用于检测Google Cloud Armor WAF中针对CVE-2021-44228问题的防护配置。

问题背景

CKV_GCP_73规则原本设计用于验证Google Cloud Armor WAF是否配置了针对特定问题(CVE-2021-44228)的预定义规则。规则检查逻辑中使用了特定的匹配模式来识别防护配置，但用户在实际使用中发现该规则产生了误报。

技术细节

该规则的核心检查逻辑是基于Google Cloud Armor的预配置WAF规则表达式。在Google Cloud Armor中，有两种方式可以引用预配置的WAF规则：

1. 使用evaluatePreconfiguredExpr('cve-canary')表达式
2. 使用evaluatePreconfiguredWaf('cve-canary')表达式

Checkov最初实现的检查逻辑只考虑了第一种表达式形式，而忽略了第二种形式，这导致了在实际扫描中对有效防护配置的错误标记。

解决方案

项目维护者已经确认evaluatePreconfiguredExpr('cve-canary')表达式并未被弃用，而是Google Cloud Armor支持两种不同的表达式格式。为了全面覆盖这两种情况，Checkov团队已经更新了规则实现，使其能够识别这两种表达式格式。

实际影响

这一改进将显著减少Checkov扫描中的误报情况，使安全团队能够更准确地评估Google Cloud Armor WAF的配置状态。对于使用以下两种格式配置CVE防护的用户，现在都能得到正确的扫描结果：

expr {
  expression = "evaluatePreconfiguredExpr('cve-canary')"
}

或

expr {
  expression = "evaluatePreconfiguredWaf('cve-canary')"
}

最佳实践建议

1. 更新到最新版本的Checkov以获取修复后的规则
2. 在配置Google Cloud Armor WAF规则时，保持一致性，选择一种表达式格式并在整个组织中统一使用
3. 定期验证安全扫描工具的规则集是否与云服务提供商的最新文档保持同步

这一改进体现了Checkov项目对用户反馈的积极响应，也展示了开源安全工具持续优化以适应实际使用场景的过程。