Policy stateful per l'analisi statica di stati di Infrastructure as Code

Infrastructure as Code permits to provision and manage infrastructure using code rather than command-line tools or ClickOps GUIs. Defects, misconfigurations and vulnerabilities in infrastructure can lead to downtime, incidents and data leaks. By having a code artifact it is possible to scan the code via SAST (Static Application Security Testing) tools and defines policies to the infrastructure via Policy as Code. In this thesis several SAST tools for Terraform will be examined and a new method that scan the Terraform state will be introduced and compared to the SAST tools that scan Terraform code or Terraform plan.

Infrastructure as Code permette di progettare e mantenere un'infrastruttura utilizzando del codice invece di strumenti da linea di comando o delle GUI ClickOps. Difetti, misconfigurazioni e vulnerabilità nell'infrastruttura possono portare a downtime, incidenti e data leak. Avendo l'infrastruttura come codice è possibile scansionare il codice con strumenti SAST (Static Application Security Testing) e definire delle policy sull'infrastruttura tramite Policy as Code. In questa tesi verranno esaminati diversi strumenti SAST per Terraform e verrà introdotta una nuova metodologia per scansionare lo stato Terraform e confrontata con gli strumenti SAST che invece scansionano il codice Terraform o i piani Terraform.