2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
Checkov 能在您的 Terraform、Kubernetes 和 CloudFormation 代码中发现数百种配置错误——但其输出结果是一大片终端文本。当您查看分布在 12 个文件中的 60 个资源时,像 aws_s3_bucket.data_lake 这样的资源名称和像 CKV_AWS_18 这样的检查 ID 并不能提供太多有用信息。
InfraSketch 的安全覆盖层解决了这个问题。运行 checkov -o json,粘贴输出结果,每个未通过检查的资源都会在你的架构图上直接显示红色边框。将鼠标悬停在上面即可查看未通过的检查 ID。一目了然地看出基础设施的哪一部分风险最高。
太长不看版:在 InfraSketch 中生成图表 → 点击 🛡 安全 → 粘贴 checkov -d . -o json 的输出结果 → 未通过的资源立即高亮显示。免费,无需登录,没有任何数据离开您的浏览器。
为什么“Checkov 图表”很重要
当 Checkov 报告 CKV_AWS_18 在 aws_s3_bucket.access_logs 上未通过时,您接下来的问题通常是:“这个存储桶在我的架构中位于何处?有什么连接到它?它是面向公众的还是内部的?”终端输出无法回答这些问题。您必须在脑海中将资源名称映射到您的架构上。
可视化覆盖层消除了这种认知负担。您可以在上下文中看到该存储桶——位于其虚拟私有云(VPC)内,连接到内容分发网络(CloudFront)分发,紧邻向其中写入数据的无服务器函数(Lambda)。安全失败变得具有空间意义,而不仅仅是列表上的一个名称。
当您审查其他人的基础设施时,这一点尤为重要。您可以向审查者提供一个已高亮显示安全失败的图表链接,他们无需阅读任何代码即可立即了解范围。
分步指南:生成并叠加
-
运行 Checkov 并保存 JSON 输出
checkov -d . -o json > checkov-results.json如果您正在扫描特定文件:checkov -f main.tf -o json > checkov-results.json对于 Kubernetes 清单:checkov -d ./k8s -o json > checkov-results.json - 生成您的架构图 打开 infrasketch.cloud,粘贴您的 Terraform 代码(或 Kubernetes YAML、CloudFormation 等),然后点击 生成图表。您的资源将以带有官方云图标的节点形式出现。
- 打开安全覆盖层 在底部的导出栏中,点击 🛡 安全 按钮。会弹出一个包含文本区域的模态框。
-
粘贴 Checkov JSON 输出 打开
checkov-results.json,复制其内容,粘贴到文本区域中,然后点击 应用。 - 查看高亮显示的图表 未通过检查的资源会获得红色边框环,并在右上角显示一个红色徽章,标示未通过检查的数量。将鼠标悬停在任何红色徽章上,即可在工具提示中看到具体的检查 ID(例如 CKV_AWS_18, CKV_AWS_19, CKV_AWS_21)。
该覆盖层是非破坏性的——点击模态框中的 清除 即可移除所有高亮显示,而无需重新生成图表。您也可以关闭并使用不同的 Checkov 输出重新应用(例如,在针对性扫描之后)。
InfraSketch 涵盖哪些 Checkov 检查?
InfraSketch 使用 JSON 输出中每个失败检查的 resource 字段,将 Checkov 的资源 ID(例如 aws_s3_bucket.my_bucket)映射到图表节点。Checkov 报告失败的任何检查都会被高亮显示——InfraSketch 端没有固定的列表限制。
话虽如此,以下是您最常看到的高亮显示的亚马逊云科技(AWS)检查:
