pre-commit-terraform项目中trivy扫描的路径排除问题解析

问题背景

在使用pre-commit-terraform项目中的terraform_trivy钩子时，用户发现即使配置了exclude参数排除/examples/路径，trivy仍然会扫描外部模块中包含的示例代码。这种情况尤其常见于.terraform目录下的模块示例文件，尽管这些目录通常已被.gitignore忽略。

技术原理分析

pre-commit-terraform的工作流程如下：

1. 钩子首先识别受影响的Terraform目录，基于修改过的文件
2. 计算需要扫描的目录范围（考虑Terraform的模块化特性）
3. 将目录列表传递给trivy进行扫描

关键在于trivy工具本身的行为特性：

• trivy默认会递归扫描所有子目录
• 当前版本(0.48.3)没有提供禁用递归扫描的选项
• trivy不会自动遵守.gitignore规则

解决方案

针对这一问题，目前有两种可行的解决方案：

临时解决方案

在pre-commit配置中为terraform_trivy钩子添加--skip-dirs参数：

- repo: https://github.com/antonbabenko/pre-commit-terraform
  rev: v1.86.0
  hooks:
    - id: terraform_trivy
      args: [--skip-dirs=.terraform/examples]

长期建议

建议向trivy项目提交功能请求，增加以下能力：

1. 非递归扫描选项
2. 自动遵守.gitignore规则
3. 更灵活的路径排除机制

最佳实践建议

对于使用pre-commit-terraform结合trivy的用户，建议：

1. 明确列出所有需要排除的目录模式
2. 定期检查trivy更新日志，关注相关功能改进
3. 对于大型项目，考虑将扫描范围限制在特定模块
4. 在团队内部文档中记录扫描排除规则

通过理解工具链中各个组件的行为特性，可以更有效地配置安全扫描流程，既保证代码质量又不影响开发效率。