Terraform Reviewer 是一款专为 AWS 基础设施即代码(IaC)安全审查设计的 AI 辅助工具,专注于在 Terraform 部署前自动识别潜在的安全配置错误。它通过分析用户提供的 HCL 文件或 `terraform plan` 的 JSON 输出,快速扫描常见的 AWS 资源定义,如 S3 存储桶、安全组、RDS 实例、IAM 策略等,并对照 CIS AWS Foundations Benchmark v2.0 标准进行合规性检查。该工具无需访问 AWS 账户或执行任何实际操作,仅依赖静态代码和计划输出生成深度分析报告,确保敏感凭证和数据不被泄露。其核心优势在于将专业安全知识转化为可执行的修复建议,帮助开发者在 CI/CD 流程中提前拦截高风险变更,从而降低生产环境中的配置漂移和安全漏洞风险。
核心功能特点
- 基于 CIS AWS 基准 v2.0 标准自动检测配置偏差
- 支持解析 Terraform HCL 文件和 plan 的 JSON 输出
- 识别高危项如公开访问的 S3 桶、宽松安全组规则、过度权限 IAM 角色
- 提供修正后的 HCL 代码片段与 GitHub PR 评论模板
- 区分关键/高/中风险等级,指导优先级修复顺序
适用场景
Terraform Reviewer 特别适用于 DevOps 团队在持续集成与交付(CI/CD)流程中嵌入 IaC 安全门禁的场景。例如,在合并 Terraform 变更请求前,开发者可将 `terraform plan -out=tfplan` 结果提交至自动化流水线,由该工具生成结构化报告,自动阻断包含开放 SSH 端口或未启用加密的数据库实例等高风险操作。对于运维工程师而言,当需要审计现有 Terraform 状态与实际云资源配置的一致性时,也可结合 `terraform state list` 数据获取更全面的合规视图。此外,安全团队可在内部培训或红蓝对抗演练中使用此工具,快速验证团队成员编写的 Terraform 模块是否符合组织安全策略,有效提升整体基础设施的安全性基线。