これは何?
checkovのseverityの判断基準と、それに基づいたフィルター方法について調査した結果をまとめた備忘録になります。
詳細
severityの判断基準
調べた限りでは基準の記載はないが、恐らくPrisma Cloudと同様の基準を採用していると思われる。
Prisma Cloudの判断基準は以下の通り。
※checkovはLOW, MEDIUM, HIGH, CRITICALの4つが重要度として割り振られているため、Informationalは本記載から省略
| Severity | Description |
|---|---|
| Critical | 攻撃者が悪用して、完全な侵害や損害を引き起こす可能性のある脆弱性または誤った構成。重大度が「重大」のアラートは、通常、即時の対応が必要であり、できるだけ早く修正する必要があります。 |
| High | 攻撃者が悪用して重大な損害や侵害を引き起こす可能性のある脆弱性または誤った構成。重大度の高いアラートは、できるだけ早く修正する必要があります。 |
| Medium | 直接悪用できない (悪用するにはある程度の労力が必要) 脆弱性または構成ミス、または影響が限定的な脆弱性または構成ミス。中程度の重大度のアラートは適時に対処する必要がありますが、すぐに対処する必要はない場合があります。 |
| Low | 直接悪用できない (悪用するには多大な労力が必要) 脆弱性または構成ミスであり、影響は最小限です。重大度が低いアラートは、定期的なメンテナンス サイクルの一環として対処できるため、すぐに対処する必要はありません。 |
※以下ドキュメント参照
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scJiCAI&lang=en_US
フィルター方法に関して
ドキュメント上だとオプション「--skip-check <除外したいレベル>」で特定のレベルを除外する事が可能
checkov -d /hoge/codecommit/xxx --skip-check LOW,INFO
但し、level情報はAPIkeyがないと取得できないため、実質的に本オプションは使用できない
※APIkeyを取得するためにはPrisma Cloud有償プランに加入する必要がある
https://docs.prismacloud.io/en/enterprise-edition/content-collections/application-security/get-started/connect-code-and-build-providers/ci-cd-runs/add-checkov
そのため、以下のように除外したいCKVを指定することで対応するのがベストかと思われる
checkov -d /hoge/codecommit/xxx --skip-check CKV_AWS_252