Vérificateur Checkmarx¶
Le vérificateur Checkmarx de BoostSecurity prend en charge un ensemble étendu de règles conçues pour garantir une couverture de sécurité complète. Vous pouvez trouver la liste complète des règles dans le Registre des vérificateurs.
Voici quelques-unes des règles clés :
| Name | Id | Description |
|---|---|---|
| ALB n'est pas Intégré Avec W | alb-not-integrated-with-waf | Tous les "Application Load Balancers (ALB)" doivent être protégés par le service de pare-feu d'application Web (WAF) |
| Passerelle API sans certificat SS | passerelle-api-sans-certificat-ssl | Le certificat client SSL doit être activé |
| Passerelle API sans Autorisateur Configur | passerelle-api-sans-autorisateur-configuré | L'API REST de la passerelle API doit avoir un autorisateur de passerelle API |
| BOM - AWS E | bom-aws-ebs | Une liste des ressources EBS trouvées. Amazon Elastic Block Store (Amazon EBS) est un service de stockage en bloc facile à utiliser, évolutif et hautes performances, conçu pour Amazon Elastic Compute Cloud (Amazon EC2). |
| BOM - AWS Kinesi | bom-aws-kinesis | Une liste des ressources Kinesis trouvées. Amazon Kinesis est un service de streaming en temps réel qui permet la collecte, le traitement et l'analyse des flux vidéo et de données en temps réel. |
| CloudFront sans Protocole Minimum TLS 1 | cloudfront-sans-protocole-minimum | La version minimale du protocole CloudFront doit être d'au moins TLS 1.2 |
| CloudFront Sans WA | cloudfront-sans-waf | Toutes les distributions AWS CloudFront devraient être intégrées au service de Web Application Firewall (AWS WAF) |
| Modifications CloudWatch pour l'alarme NACL manquant | modifications-cloudwatch-nacl-manquant | Assurez-vous qu'un filtre de métrique de journal et une alarme existent pour les modifications apportées à NACL |
| Alarmes des modifications CloudWatch pour NACL manquante | cloudwatch-changes-nacl-missing | Assurez-vous qu'un filtre de métriques de journal et un alarme existent pour les modifications de NACL |
| Alarme Manquante pour les Changements de Configuration Cloudwatch Cloudtrai | alarme-mancante-cloudwatch-cloudtrail-changements-configuration | Assurez-vous qu'un filtre de métrique de log et une alarme existent pour les changements de configuration CloudTrail |
| Groupe de journaux CloudWatch sans KM | groupe-de-journaux-cloudwatch-sans-kms | Les groupes de journaux AWS CloudWatch doivent être chiffrés à l'aide de KMS |
| Désactivation de la Journalisation CloudWatc | journalisation-cloudwatch-desactivee | Vérifiez si la journalisation CloudWatch est désactivée pour les zones hébergées Route53 |
| Exécutions de Conteneur Non Masquée | container-runs-unmasked | Vérifiez si un conteneur a un accès complet (non masqué) à la commande /proc de l'hôte, ce qui permettrait de récupérer des informations sensibles et potentiellement de modifier les paramètres du noyau en temps réel. |
| Point de terminaison VPC DynamoDB sans association de table de routag | point-de-terminaison-vpc-dynamodb-sans-association-de-table-de-routage | Le point de terminaison VPC DynamoDB doit être associé à une association de table de routage |
| Instance EC2 Utilisant une Clé AP | instance-ec2-utilisant-des-cles-api | Les instances EC2 doivent utiliser des rôles pour se voir accorder l'accès à d'autres services AWS |
| Dépôt ECR Non Chiffré Avec C | depot-ecr-non-chiffre-avec-cmk | Les dépôts ECR doivent être chiffrés avec des clés gérées par le client pour répondre à des exigences de sécurité et de conformité plus strictes en matière de contrôle d'accès, de surveillance et de rotation des clés. |
| Définition des Réponses Globales Non Utilisé | definition-des-reponses-globales-non-utilisee | Toutes les définitions des réponses globales devraient être en usage |
| Authentification IAM pour la base de données non activé | auth-iam-base-de-donnees-non-active | L'authentification IAM pour la base de données doit être configurée à vrai lorsqu'un moteur et une version compatibles sont utilisés. |
| Politique gérée IAM appliquée à un utilisateu | politique-gérée-iam-appliquée-à-un-utilisateur | Assurez-vous que toutes les politiques gérées IAM sont mises en œuvre dans un groupe et non dans un utilisateur. |
| Clé KMS Sans Fenêtre de Suppressio | kms-key-without-deletion-window | La clé AWS KMS doit avoir une fenêtre de suppression valide |
| Lambda IAM InvokeFunction Mal Configur | lambda-iam-invokefunction-mal-configuré | Les permissions Lambda peuvent être mal configurées si le champ d'action n'est pas rempli par 'lambda:InvokeFunction' |
| Le courtier MSK est accessible au publi | msk-broker-est-accessible-au-public | AWS MSK public permet à quiconque d'interagir avec le courtier Apache Kafka, augmentant ainsi les opportunités pour des activités malveillantes. Pour prévenir un tel scénario, il est recommandé de ne pas rendre AWS MSK accessible au public. |
| Objet d'opération sans 'consumes | objet-operation-sans-consumes | L'objet d'opération doit avoir le champ 'consumes' défini pour les opérations 'POST', 'PUT' et 'PATCH' |
| Paramètre de Chemin Non Requis (v3 | parametre-chemin-non-requis | La propriété 'required' détermine si le paramètre est obligatoire. Si l'emplacement du paramètre est 'chemin', cette propriété est requise et sa valeur doit être vraie. |
| Propriété 'allowEmptyValue' Définie Incorrectement (v2 | allowemptyvalue-improperly-defined | La propriété 'allowEmptyValue' ne devrait être définie que pour les paramètres de requête et les paramètres formData |
| Redis Entièrement Accessibl | redis-entirement-accessible | Règle de pare-feu permettant un accès non sécurisé à Redis depuis Internet |
| Cluster Redshift Sans VP | cluster-redshift-sans-vpc | Le Cluster Redshift doit être configuré dans un VPC (Virtual Private Cloud) |
| Corps de Requête Avec Référence Incorrect | corps-de-requete-avec-reference-incorrecte | La référence du Corps de Requête doit toujours pointer vers '#/components/RequestBodies' |
| Rôle Avec Élévation de Privilèges Par Actions 'glue:CreateDevEndpoint' Et 'iam:PassRole | role-with-privilege-escalation | Rôle avec élévation de privilèges par les actions 'glue:CreateDevEndpoint' et 'iam:PassRole' et Ressource définie sur '*'. Pour plus d'informations, consultez https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/. |
| Port Sensible Exposé à l'Ensemble du Résea | port-sensible-expose-a-l-ensemble-du-reseau | Un port sensible, tel que le port 23 ou le port 110, est ouvert à l'ensemble du réseau, que ce soit en protocole TCP ou UDP |
| Paramètre de journalisation d'accès API sans serveur non défin | parametre-journalisation-acces-api-sans-serveur-non-defini | L'API sans serveur AWS/API HTTP sans serveur AWS doit avoir des paramètres de journalisation d'accès définis |
| Fonction Sans Serveur Sans Traçage X-Ra | fonction-sans-serveur-sans-tracage-xray | La fonction sans serveur doit avoir le traçage activé. Pour cela, la propriété 'tracing' doit avoir la valeur 'Active' |
| Désactivation de la sauvegarde de l'instance de base de données SQ | sauvegarde-instance-db-sql-désactivée | Vérifie si la configuration de sauvegarde est activée pour toutes les instances de base de données Cloud SQL |
| Motif Non Défini (v | schéma-chaîne-sans-motif | Le schéma de chaîne de caractère doit avoir 'pattern' défini. |
| Utilisateur Avec Élévation de Privilèges par Actions 'iam:PutUserPolicy | utilisateur-avec-eleveation-de-privilleges-par-actions | Utilisateur avec élévation de privilèges par actions 'iam:PutUserPolicy' et Ressource définie sur '*'. Pour plus d'informations, consultez https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/. |