近日，软件安全解决方案供应商 Checkmarx 推出了一个新的开源静态分析工具 KICS，旨在让开发人员编写更安全的 IaC（ infrastructure-as-code，基础设施即代码）。新的 KICS（Keeping Infrastructure as Code Secure，保持基础设施即代码安全）解决方案扩展了 Checkmarx 的 AST（ application security testing ，应用安全测试）产品线，为传统和云原生应用的专有代码、开源组件和关键基础设施的安全提供单一平台。

IaC 是 "描述性模型 "中基础设施的管理者，每次应用时都会产生相同的环境。它的出现是为了解决发布管道中的环境漂移问题，并且已经成为支持持续交付的关键 DevOps 实践。

而 KICS 工具的设计目的是为了从 IaC 构建周期开始就自动检测漏洞、硬编码密钥和密码、合规性问题和错误配置，从而使开发人员在其代码达到生产之前就可以修补这些缺陷。这个版本的 KICS 工具支持一系列 IaC 技术，包括 Terraform、Kubernetes、Docker、AWS CloudFormation 和 Ansible。KICS 还提供了1200多个可定制和可调整的查询，涵盖了从加密和密钥管理到网络端口安全等十多个类别。

Checkmarx 是开源的坚定倡导者，其希望 KICS 能成为每个开发人员的云原生安全工具包的重要补充。