◾️はじめに

で、terraform validate を知れる機会ができたが
それ以外のもツールがあるっぽいので、メモ。

【０】Terraform linter一覧

ツール	目的	チェック範囲	ベストプラクティス	セキュリティ
terraform validate	基本構文検証	HCL構文・依存関係	×	×
tflint	コード品質向上	HCL構文 + プロバイダー依存	○	△
checkov	セキュリティ検査	リソースの設定値まで検証	○	◎

* Terraform公式の 基本バリデーションツール
 => Terraformの構文チェックと基本的な論理チェックを行う
 => リソースの存在や構文ミスを検出

* HCL構文の正当性
* 参照関係の整合性（例: 未定義の変数を使っていないか）

terraform validate

*Terraform用の拡張可能なLintツール
 => 構文チェック以上に、ベストプラクティスやプロバイダー依存の警告が可能

# Linux
curl -s https://raw.githubusercontent.com/terraform-linters/tflint/master/install_linux.sh | bash

# Mac
brew install tflint

.tflint.hcl

plugin "aws" {
  enabled = true
  region  = "us-west-2"
}

* AWS/GCP/Azureなどプロバイダー向けのプラグイン対応
* 無駄な変数・冗長な記述・非推奨な属性の警告なども対応
* .tflint.hcl にルール定義が可能（ルールのON/OFF、カスタムルールも）

* aws_instance に不要な属性が指定されていないか
* count の使い方が正しいか
* terraform fmt では補足できないフォーマット警告

* セキュリティとコンプライアンスに特化した IaC用スキャナ。
* Open Policy Agent（OPA）ライクなポリシールールを持っている
* Terraform/CloudFormation/Kubernetesなどにも対応。

* デフォルトで大量のセキュリティルールが組み込まれている
* 公開設定、暗号化、タグ付け、IAMポリシーの安全性などを自動チェック
* CI/CDに組み込みやすい（JSON/HTMLなどでレポート出力可）

pip install checkov

* S3バケットが公開されていないか
* RDSに暗号化が有効か
* IAMに *:* 権限が含まれていないか
* ログが有効になっているか

checkov -d .