Vérificateur Checkmarx¶
Le vérificateur Checkmarx de Boost Security prend en charge un ensemble étendu de règles conçues pour garantir une couverture de sécurité complète. Vous pouvez trouver la liste complète des règles dans le Registre des vérificateurs.
Voici quelques-unes des règles clés :
| Name | Id | Description |
|---|---|---|
| - | checkmarx-alb-not-integrated | Tous les équilibres de charge d'application (ALB) doivent être protégés |
| Passerelle API sans certificat SSL | api-gateway-without-ssl-certificate | Le certificat client SSL doit être activé. |
| API Gateway sans authorizer configuré | api-gateway-without-configured-authorizer | L'API Gateway REST API doit avoir un authorizer d'API Gateway. |
| - | checkmarx-bom-aws-ebs | Une liste des ressources EBS trouvées. Amazon Elastic Block Store (Amazon |
| - | checkmarx-bom-aws-kinesis | Une liste des ressources Kinesis trouvées. Amazon Kinesis est un service |
| CloudFront sans le protocole minimum TLS 1.2 | cloudfront-without-minimum-protocol | La version minimale du protocole CloudFront doit être au moins TLS 1.2. |
| - | checkmarx-cloudfront-without-waf | Toutes les distributions AWS CloudFront doivent être intégrées au service |
| - | checkmarx-cloudwatch-changes | Assurez-vous qu'un filtre de métrique de journal et une alarme existent |
| - | checkmarx-cloudwatch-cloudtrail-configuration | Assurez-vous qu'un filtre de métriques de journal et une alarme existent |
| - | checkmarx-cloudwatch-log-group | Les groupes de journaux AWS CloudWatch doivent être chiffrés à l'aide |
| - | checkmarx-cloudwatch-logging-disabled | Vérifiez si la journalisation CloudWatch est désactivée pour les zones |
| - | checkmarx-container-runs-unmasked | Vérifiez si un conteneur a un accès complet (non masqué) à la commande |
| - | checkmarx-dynamodb-vpc-endpoint | L'Endpoint VPC de DynamoDB doit être associé à l'Association de Table |
| - | checkmarx-ec2-instance-using-api-keys | Les instances EC2 doivent utiliser des rôles pour se voir accorder l'accès |
| - | checkmarx-ecr-repository-not-encrypted | Les dépôts ECR doivent être chiffrés avec des clés gérées par le client |
| Définition des Réponses Globales Non Utilisée | global-responses-definition-not-used | Toutes les définitions des réponses globales doivent être utilisées. |
| - | checkmarx-iam-database-auth-not-enabled | IAM Database Auth Enabled doit être configuré sur true lorsqu'un moteur |
| - | checkmarx-iam-managed-policy | Assurez-vous que toutes les politiques IAM gérées sont implémentées dans |
| Clé KMS Sans Fenêtre de Suppression | kms-key-without-deletion-window | La clé AWS KMS doit avoir une période de suppression valide. |
| - | checkmarx-lambda-iam-invokefunction | Les autorisations Lambda peuvent être mal configurées si le champ d'action |
| - | checkmarx-msk-broker-accessible | AWS MSK public permet à quiconque d'interagir avec le courtier Apache |
| - | checkmarx-operation-without-consumes | L'objet d'opération doit avoir le champ 'consumes' défini pour les opérations |
| - | checkmarx-path-parameter-not-required | La propriété 'required' détermine si le paramètre est obligatoire. Si |
| - | checkmarx-property-allowemptyvalue | La propriété 'allowEmptyValue' ne doit être définie que pour les paramètres |
| - | checkmarx-redis-accessible | Règle de pare-feu permettant l'accès sans restriction à Redis depuis |
| - | checkmarx-redshift-cluster | Le cluster Redshift doit être configuré dans un VPC (Virtual Private |
| Corps de la demande avec une référence incorrecte | request-body-with-incorrect-ref | La référence du corps de la requête doit toujours pointer vers '#/components/RequestBodies' |
| - | checkmarx-role-with-privilege | Rôle avec élévation de privilèges par les actions 'glue:CreateDevEndpoint' |
| - | checkmarx-sensitive-port | Un port sensible, tel que le port 23 ou le port 110, est ouvert pour |
| - | checkmarx-serverless-api | Les API AWS Serverless/AWS Serverless HTTP API devraient avoir des paramètres |
| - | checkmarx-serverless-function-without-xray | La fonction sans serveur doit avoir le débogage activé. Pour cela, la |
| - | checkmarx-sqldb-instance-disabled | Vérifie si la configuration de sauvegarde est activée pour toutes les |
| Modèle indéfini (v3) | string-schema-pattern-undefined | Le schéma de chaîne devrait avoir 'pattern' défini. |
| - | checkmarx-user-with-privilege | Utilisateur avec élévation de privilèges par les actions 'iam:PutUserPolicy' |