Escaneo IaC

El escaneo de Infraestructura como Código (IaC) detecta misconfiguraciones de seguridad en tus ficheros de despliegue antes de que lleguen a producción. Gerion utiliza KICS (Keeping Infrastructure as Code Secure) de Checkmarx.

Ejecutar

gerion iac-scan [RUTA]

# Escanear el directorio actual
gerion iac-scan .

# Guardar resultados como JSON
gerion iac-scan . --format json --output-file iac.json

# Enviar resultados a la API de Gerion
gerion iac-scan . --api-url $GERION_API_URL --api-key $GERION_API_KEY

Tecnologías soportadas

Plataforma	Tipos de fichero
Terraform	`.tf`, `.tfvars`, módulos
Kubernetes	manifests `.yaml` / `.yml`
Helm	`Chart.yaml`, `values.yaml`, templates
Docker	`Dockerfile`, `docker-compose.yml`
AWS CloudFormation	`.yaml`, `.json`
Azure Resource Manager	templates ARM `.json`
Azure Bicep	`.bicep`
Google Deployment Manager	`.yaml`, `.jinja`
Ansible	playbooks, roles
OpenAPI / Swagger	`.yaml`, `.json`
Crossplane	resources `.yaml`

Categorías de misconfiguraciones detectadas

Categoría	Ejemplos
Acceso no autorizado	Puertos expuestos al mundo (0.0.0.0/0), SSH público
Contenedores inseguros	Ejecución como root, `privileged: true`, capabilities excesivas
Almacenamiento expuesto	Buckets S3/GCS públicos, discos sin cifrado
Cifrado desactivado	Bases de datos sin cifrado at-rest, tráfico HTTP
Logging y auditoría	CloudTrail desactivado, logs de acceso ausentes
IAM permisivo	Políticas `:`, roles excesivamente amplios
Redes	Security groups abiertos, VPCs sin subnets privadas
Secrets en IaC	Variables de entorno con valores hardcodeados

Opciones

Opción	Descripción
`--format`	Formato de salida: `json` \| `markdown` \| `sarif`
`--output-file`	Guardar resultados en fichero (deshabilita envío a API)
`--queries-path`	Ruta a directorio de queries KICS personalizado
`--api-url`	URL del Gerion API Gateway
`--api-key`	API key M2M
`--timeout`	Timeout en segundos (defecto: 180)
`--log-level`	`debug` \| `info` \| `warning` \| `error`