本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 掃描安全漏洞和格式錯誤
<a name="security-formatting-best-practices"></a>

基礎設施即程式碼 (IaC) 和自動化對於企業來說至關重要。由於 IaC 如此強大，您在管理安全風險方面負有重大責任。常見 IaC 安全風險可能包括下列內容：
+ 超額許可 AWS Identity and Access Management (IAM) 權限
+ 開放式安全群組
+ 未加密的資源
+ 存取日誌未開啟

## 安全方法和工具
<a name="security-approaches"></a>

我們建議您實作下列安全方法：
+ **開發中的漏洞偵測** – 由於開發和分發軟體修補程式的複雜性，修復生產中的漏洞既昂貴又耗時。此外，生產中的漏洞存在被利用的風險。我們建議您對 IaC 資源使用程式碼掃描，以便在發行到生產之前偵測到並修復漏洞。
+ **合規和自動修復 **– AWS Config 提供 AWS 受管規則。這些規則可協助您強制執行合規，並可讓您使用[AWS Systems Manager 自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)來嘗試自動修復。您也可以使用 AWS Config 規則來建立和關聯自訂自動化文件。

## 常見開發工具
<a name="common-dev-tools"></a>

本節介紹的工具可協助您使用自己的自訂規則來延伸內建功能。我們建議您將自訂規則與組織的標準保持一致。以下是一些要考慮的常見開發工具：
+ 使用 cdk-nag 來驗證指定範圍內的建構是否符合一組定義的規則。您也可以使用 cdk-nag 進行規則隱藏和合規報告。cdk-nag 工具透過擴展 中的[層面](https://docs.aws.amazon.com/cdk/v2/guide/aspects.html)來驗證建構 AWS CDK。如需詳細資訊，請參閱《 AWS DevOps 部落格》中的[管理應用程式安全和與 AWS Cloud Development Kit (AWS CDK) 和 cdk-nag 的合規](https://aws.amazon.com/blogs/devops/manage-application-security-and-compliance-with-the-aws-cloud-development-kit-and-cdk-nag/)。
+ 使用開放原始碼工具 Checkov 對您的 IaC 環境執行靜態分析。Checkov 透過掃描 Kubernetes、Terraform 或 CloudFormation 中的基礎設施程式碼來協助識別雲端錯誤組態。您可以使用 Checkov 取得不同格式的輸出，包括 JSON、JUnit XML 或 CLI。Checkov 可以透過建置顯示動態程式碼相依性的圖表來有效地處理變數。如需詳細資訊，請參閱 Bridgecrew 中的 GitHub [Checkov](https://github.com/bridgecrewio/checkov) 儲存庫。
+ 使用 TFLint 檢查錯誤和已棄用的語法，並協助您強制執行最佳實務。請注意，TFLint 可能無法驗證供應商特定的問題。如需有關 TFlint 的詳細資訊，請參閱 Terraform Linters 中的 GitHub [TFLint](https://github.com/terraform-linters/tflint) 儲存庫。
+ 使用 Amazon Q Developer 執行[安全掃描](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/security-scans.html)。在整合開發環境 (IDE) 中使用時，Amazon Q Developer 會提供 AI 驅動的軟體開發協助。它可以討論程式碼、提供內嵌程式碼完成、產生新程式碼、掃描程式碼是否有安全漏洞，以及進行程式碼升級和改善。