pre-commit-terraform项目中trivy配置忽略文件的正确使用方法

在pre-commit-terraform项目中，terraform_trivy钩子默认配置仅扫描.tf和.tfvars文件，这可能导致.trivyignore全局忽略文件失效的问题。本文将详细介绍如何正确配置以实现全局忽略规则。

问题背景

trivy作为一款流行的安全扫描工具，支持通过.trivyignore文件定义需要忽略的安全规则。然而在pre-commit-terraform的默认配置中，钩子仅针对.tf和.tfvars文件触发扫描：

files: \.tf(vars)?$

这种配置会导致.trivyignore文件被排除在扫描范围之外，使得开发者不得不为每个需要忽略的规则重复编写忽略语句，降低了开发效率。

解决方案

方法一：使用pass_filenames参数

最简单的解决方案是在钩子配置中添加pass_filenames参数：

- id: terraform_trivy
  pass_filenames: false

这样配置后，pre-commit将不再过滤文件类型，trivy能够正常识别项目中的.trivyignore文件。

方法二：显式指定忽略文件路径

对于.trivyignore文件位于项目根目录的情况，可以通过args参数显式指定忽略文件路径：

- id: terraform_trivy
  args:
    - "--args=--ignorefile=__GIT_WORKING_DIR__/.trivyignore"

这种方法特别适用于大型项目或需要精确控制忽略规则路径的场景。__GIT_WORKING_DIR__是pre-commit提供的环境变量，表示Git工作目录的绝对路径。

最佳实践建议

1. 统一管理忽略规则：建议将.trivyignore文件放置在项目根目录，便于团队协作和维护。

2. 明确忽略原因：在.trivyignore文件中，为每个忽略规则添加注释说明忽略原因，方便后续维护。

3. 定期审查忽略规则：建议在项目迭代过程中定期审查.trivyignore文件中的规则，确保不会忽略真正需要修复的安全问题。

4. 结合CI/CD流程：除了pre-commit钩子外，建议在CI/CD流程中也配置相同的忽略规则，确保开发环境和构建环境的一致性。

通过以上配置，开发者可以充分利用trivy的全局忽略功能，避免重复编写忽略语句，提高开发效率的同时确保代码安全性。