Checkov Scan para Terraform com Azure Pipelines

Esse post mostra como usar o Checkov para escanear seu IaC Terraform dentro de uma esteira do Azure Pipelines. O objetivo é ter um step dedicado ao scan de segurança antes de qualquer plan ou apply chegar no ambiente. O que é o Checkov? Checkov é uma ferramenta de análise estática para infraestrutura como código. Ela verifica configurações de recursos cloud e aponta misconfigurations antes que elas sejam provisionadas. Suporta Terraform, CloudFormation, Kubernetes, Helm, ARM Templates, Serverless e AWS CDK. Etapa 1 — Criando o template do Checkov Como vamos usar Azure Pipelines, faz sentido isolar as tasks do Checkov em um template reutilizável. O arquivo fica em: .azuredevops/templates/terraform-build-checkov.yml O template usa duas variáveis predefinidas do Azure DevOps para instalar o Checkov no runner de execução: Predefined variables - Azure Pipelines | Microsoft Learn A comprehensive list of all available predefined variables learn.microsoft.com $(Agent.ToolsDirectory) — diretóri