antonbabenko/awesome-terraform-compliance

# Terraform 合规性资源精选 [](https://github.com/sindresorhus/awesome) 在 Terraform 和 OpenTofu 基础设施中实施合规性、安全性和治理控制的工具、框架和资源。 维护者：[Anton Babenko](https://github.com/antonbabenko)，[terraform-aws-modules](https://github.com/terraform-aws-modules) 的创建者以及其他一些 Terraform 项目。 ## 目录 - [Legend](#legend) - [Policy Engines](#policy-engines) - [IaC Security Scanners](#iac-security-scanners) - [Multi-Framework Scanners](#multi-framework-scanners) - [Terraform-Specific Scanners](#terraform-specific-scanners) - [Terraform Testing](#terraform-testing) - [Intentionally Vulnerable Terraform](#intentionally-vulnerable-terraform) - [Compliance-Ready Modules](#compliance-ready-modules) - [AWS](#aws) - [Azure](#azure) - [GCP](#gcp) - [Cloud Provider Compliance Tools](#cloud-provider-compliance-tools) - [AWS](#aws-1) - [Azure](#azure-1) - [GCP](#gcp-1) - [Multi-Cloud](#multi-cloud) - [Compliance Frameworks and Standards](#compliance-frameworks-and-standards) - [CIS Benchmarks](#cis-benchmarks) - [SOC 2](#soc-2) - [PCI DSS](#pci-dss) - [NIST and FedRAMP](#nist-and-fedramp) - [Evidence and Audit](#evidence-and-audit) - [OSCAL Tooling](#oscal-tooling) - [Evidence Generation](#evidence-generation) - [Drift Detection](#drift-detection) - [Policy Libraries and Rulesets](#policy-libraries-and-rulesets) - [OPA/Rego Libraries](#oparego-libraries) - [Sentinel Libraries](#sentinel-libraries) - [Guard Rule Libraries](#guard-rule-libraries) - [Terraform Automation Platforms](#terraform-automation-platforms) - [CI/CD and Platform Integration](#cicd-and-platform-integration) - [Learning Resources](#learning-resources) - [Articles](#articles) - [Conference Talks](#conference-talks) - [Books](#books) - [Courses](#courses) - [Newsletters](#newsletters) - [Related Awesome Lists](#related-awesome-lists) - [Curation Policy](#curation-policy) ## Legend - 💲 - 商业/付费产品或服务 - 🆓 - 提供免费额度（适用于商业产品） - 🏛️ - 政府/公共部门专用 - ⚠️ - 已归档、弃用或进入维护模式（不再新增功能/客户） ## Policy Engines *用于评估 Terraform 计划和配置是否符合合规规则的一般用途策略引擎。* - [Open Policy Agent (OPA)](https://www.openpolicyagent.org/) - 使用 Rego 语言编写的一般用途策略引擎，CNCF 毕业项目，通过 Conftest 和 terraform-plan 评估提供广泛的 Terraform 集成。 - [HashiCorp Sentinel](https://www.hashicorp.com/sentinel) - 内嵌于 Terraform Cloud/Enterprise 的策略即代码框架，用于在运行期间强制执行合规规则。 💲 - [Cloud Custodian](https://cloudcustodian.io/) - 云资源管理规则引擎，支持 Terraform 计划评估和运行时策略执行。CNCF 孵化项目。 ## IaC Security Scanners *分析 Terraform 代码、计划或状态以发现安全误配置和合规性违规的工具。* ### Multi-Framework Scanners *支持包括 Terraform 在内的多种 IaC 框架的扫描器。* - [Checkov](https://www.checkov.io/) - 静态分析工具，内置 1,000+ 条策略，涵盖 CIS、SOC 2、HIPAA、PCI DSS 和 NIST 基准，适用于 Terraform、CloudFormation、Kubernetes 等。 - [Trivy](https://trivy.dev/) - 安全扫描器，用于 IaC 误配置、漏洞、密钥和许可证检测，支持 Terraform HCL 和计划分析（已吸收 tfsec）。 - [KICS](https://kics.io/) - 由 Checkmarx 提供的开源扫描器，支持 1,900+ 条查询，涵盖 Terraform、Ansible、Docker 和 Kubernetes。 - [Terrascan](https://www.tenable.com/cloud-security/solutions/iac) - 静态代码分析器，支持 500+ 条 OPA/Rego 策略，适用于 Terraform、Kubernetes、Helm 和 CloudFormation。 ⚠️ - [Snyk IaC](https://snyk.io/product/infrastructure-as-code-security/) - 与 Snyk 开发者安全平台集成的 IaC 安全测试。 💲 🆓 - [SonarQube IaC Analysis](https://github.com/SonarSource/sonar-iac) - SonarSource 提供的 IaC 静态分析器，支持 Terraform、CloudFormation、Kubernetes 和 Docker，包含安全与质量规则。 - [Drogon](https://github.com/filipi86/drogonsec) - 高性能开源扫描器，集成 SAST、SCA、密钥检测和 IaC 分析，专为 CI/CD 流水线设计，适用于 Terraform 及其他格式。 ### Terraform-Specific Scanners *专注于 Terraform 或 OpenTofu 的扫描器。* - [terraform-compliance](https://terraform-compliance.com/) - 基于 Cucumber 语法编写自然语言合规测试的 Terraform BDD 框架。 - [tflint](https://github.com/terraform-linters/tflint) - 可插拔的 Terraform Linter，内置 AWS、Azure 和 GCP 规则集，用于检测错误并强制执行最佳实践。 - [CloudFormation Guard (cfn-guard)](https://github.com/aws-cloudformation/cloudformation-guard) - AWS 提供的策略即代码 DSL，用于编写验证 JSON 和 YAML 数据的规则，包括 Terraform 计划 JSON 和 HCL 配置。 - [Tirith](https://github.com/StackGuardian/tirith) - 针对 Terraform 堆栈的策略框架，根据 JSON 定义的合规策略评估基础设施配置。 ### Terraform Testing *用于编写自动化测试以验证 Terraform 模块是否符合合规性和正确性要求的工具。* - [Terratest](https://terratest.gruntwork.io/) - Go 语言编写的集成测试库，用于部署真实基础设施并对其运行断言。 - [Terraform test](https://developer.hashicorp.com/terraform/language/tests) - Terraform 1.6+ 内置测试命令，支持在 `.tftest.hcl` 文件中编写单元测试和集成测试，无需外部依赖。 ### Intentionally Vulnerable Terraform *包含故意配置错误的 Terraform 代码库，用于测试和评估安全扫描器。* - [TerraGoat](https://github.com/bridgecrewio/terragoat) - Bridgecrew 提供的“按设计易受攻击”的 Terraform 代码库，涵盖 AWS、Azure 和 GCP 的常见误配置。 - [sadcloud](https://github.com/nccgroup/sadcloud) - NCC Group 提供的工具，可通过 Terraform 启动故意配置错误的 AWS 基础设施以测试检测覆盖范围。 ## Compliance-Ready Modules *内置合规控制功能的预配置 Terraform 模块。* ### AWS - [Compliance.tf](https://compliance.tf/) - 封装 terraform-aws-modules 的合规就绪 Terraform 模块，内置强制合规控制和审计证据生成，适用于 SOC 2、HIPAA、PCI DSS、NIS2、DORA 和 ISO 27001。💲 🆓 - [opsZero](https://opszero.com/solutions/compliance/) - 合规自动化平台，提供符合 HIPAA、PCI DSS、FedRAMP、StateRamp 和 CMMC 要求的 AWS 基础设施 Terraform 模块。💲 - [terraform-aws-secure-baseline](https://github.com/nozaq/terraform-aws-secure-baseline) - Terraform 模块，用于配置 AWS 账户的安全基线，符合 CIS Amazon Web Services Foundations Benchmark 和 AWS Foundational Security Best Practices。 ### Azure - [Azure CAF Terraform](https://github.com/aztfmod/terraform-azurerm-caf) - 云采用框架（CA）落地区模块，内置治理和合规模式。 ### GCP - [Google Cloud Foundation Toolkit](https://docs.cloud.google.com/docs/terraform/blueprints/terraform-blueprints) - Google 维护的 Terraform 蓝图，用于安全部署 GCP 并符合组织策略。 - [Secure Cloud Foundation](https://github.com/GoogleCloudPlatform/pbmm-on-gcp-onboarding) - 受保护的中/中/中 GCP 落地区，包含加拿大政府合规模式。🏛️ ## Cloud Provider Compliance Tools *与 Terraform 管理的基础设施合规性相辅相成的云原生服务。* ### AWS - [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) - 托管或自定义规则，评估 AWS 资源配置是否符合合规基线，可通过 Terraform 部署。 - [AWS Security Hub](https://aws.amazon.com/security-hub/) - 跨 AWS 账户聚合安全与合规发现结果，支持 CIS、PCI DSS 和 NIST 基准。 - [AWS Audit Manager](https://aws.amazon.com/audit-manager/) - 自动收集证据，映射至 SOC 2、PCI DSS、HIPAA 和 GDPR 等合规框架。⚠️ - [AWS Control Tower](https://aws.amazon.com/controltower/) - 管理型落地区服务，通过 SCP 和 Config 规则作为多账户 AWS 环境的护栏，可通过 Terraform 配置。 - [AWS Service Control Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) - AWS Organizations 级别的预防性治理策略，可通过 Terraform 部署以强制执行跨账户合规边界。 - [AWS Control Tower Controls with Terraform](https://github.com/aws-samples/aws-control-tower-controls-terraform) - 官方 AWS 示例，展示如何通过 Terraform IaC 实施和管理 Control Tower 的预防、检测和主动护栏。 ### Azure - [Azure Policy](https://learn.microsoft.com/en-us/azure/governance/policy/) - Azure 资源策略服务，内置合规定义，可通过 Terraform 部署。 - [Microsoft Defender for Cloud](https://www.microsoft.com/en-us/security/business/cloud-security/microsoft-defender-cloud/) - 云安全态势管理，可通过 Terraform 配置（`azurerm_security_center_*` 资源），提供 CIS、PCI DSS、ISO 27001 和 SOC 2 的合规性仪表板。💲 ### GCP - [GCP Organization Policy](https://docs.cloud.google.com/organization-policy/overview) - 可通过 Terraform 管理的 GCP 组织级策略约束。 - [Security Command Center](https://cloud.google.com/security/products/security-command-center) - GCP 安全发现和合规监控平台，支持通过 `google_scc_*` Terraform 资源进行通知配置和源管理。💲 ### Multi-Cloud - [Prowler](https://github.com/prowler-cloud/prowler) - 开源安全评估工具，支持 AWS、Azure、GCP 和 Kubernetes，涵盖 CIS、PCI、HIPAA、SOC 2、ISO 27001 等。 - [Steampipe](https://steampipe.io/) - SQL 查询引擎，通过插件支持 AWS、Azure 和 GCP 的实时云资源数据，可作为 Powerpipe 合规基准的数据层。 - [Powerpipe](https://powerpipe.io/) - 使用 Steampipe 作为数据源的合规控制和仪表板运行器，支持在 AWS、Azure 和 GCP 上运行 CIS、SOC 2、HIPAA、PCI、NIST 和 FedRAMP 基准。 - [CloudQuery](https://www.cloudquery.io/) - 开源云资产清单工具，可将 AWS、Azure 和 GCP 资源同步到 SQL 或 Parquet 以进行合规查询和报告。 ## Compliance Frameworks and Standards *将合规框架要求映射到 Terraform 基础设施控制的资源。* - [AWS Audit Manager Framework Library](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html) - AWS Audit Manager 支持的所有合规框架概览，涵盖 SOC 2、PCI DSS、HIPAA、ISO 27001、NIST 800-53、FedRAMP、GDPR 等，并带有 AWS 原生证据收集。⚠️ ### CIS Benchmarks - [CIS AWS Foundations Benchmark](https://www.cisecurity.org/benchmark/amazon_web_services) - 适用于 Terraform 实现的 CIS AWS 基础架构基准。 - [CIS Azure Foundations Benchmark](https://www.cisecurity.org/benchmark/azure) - 适用于 Azure 的 CIS 基准，涵盖身份、网络、日志和监控控制。 - [CIS GCP Foundations Benchmark](https://www.cisecurity.org/benchmark/google_cloud_computing_platform) - 适用于 Google Cloud Platform 部署的 CIS 基准。 ### SOC 2 - [SOC 2 Compliance Mapping for Terraform](https://compliance.tf/docs/frameworks/aws/soc_2/) - 将 SOC 2 信任服务标准映射到 Terraform 资源配置和控制。💲 ### PCI DSS - [PCI DSS v4.0 on AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) - AWS Security Hub 的 PCI DSS v4.0 控制项，支持通过 Terraform 进行修复。 ### NIST and FedRAMP - [NIST SP 800-53 Controls](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) - 安全与隐私控制目录（1,000+ 条控制项），作为 FedRAMP、FISMA 和 CMMC 的基线。虽然控制项映射到云资源配置，但文档本身仅为框架参考，并非 Terraform 专用。🏛️ - [OSCAL (Open Security Controls Assessment Language)](https://pages.nist.gov/OSCAL/) - NIST 提供的机器可读合规格式，用于表达安全控制实现。🏛️ - [FedRAMP Authorization Boundary Guidance](https://demo.fedramp.gov/resources/documents/CSP_A_FedRAMP_Authorization_Boundary_Guidance.pdf) - FedRAMP 关于定义云系统边界的指导，直接关联 Terraform 管理的资源范围界定。🏛️ ## Evidence and Audit *用于从 Terraform 管理的基础设施中生成、管理和格式化合规证据的工具。* ### OSCAL Tooling - [Compliance Trestle](https://github.com/oscal-compass/compliance-trestle) - 用于创建和验证 OSCAL 文档的 SDK 和 CLI，是 OSCAL Compass 项目的一部分。 - [Lula](https://github.com/defenseunicorns/lula) - 将 OSCAL 组件定义映射到实时基础设施以进行持续合规验证的工具。🏛️ - [GovReady-Q](https://github.com/GovReady/govready-q) - 支持 OSCAL 输出的合规即代码平台，用于生成系统安全计划。🏛️ ### Evidence Generation - [Drata](https://drata.com/) - 合规自动化平台，支持基础设施证据收集，包括 Terraform 状态集成。💲 - [RegScale](https://regscale.com/) - 支持 OSCAL 原生证据管理的持续合规自动化平台。💲 ### Drift Detection - [Driftctl](https://snyk.io/) - 检测 Terraform 状态与实际云资源配置之间的基础架构漂移。⚠️ - [Digger](https://digger.dev/) - 具备漂移检测能力的开源 Terraform CI/CD 工具。 - [cloud-concierge](https://github.com/dragondrop-cloud/cloud-concierge) - 开源工具，可将基础架构漂移、安全发现和成本预估作为拉取请求展示在你的 Terraform 代码库中。 ## Policy Libraries and Rulesets *用于在 Terraform 代码上强制执行合规规则的可重用策略集合。* ### OPA/Rego Libraries - [Conftest](https://www.conftest.dev/) - 用于对结构化配置数据执行 OPA/Rego 测试的工具，广泛用于 Terraform 计划验证。 - [Fugue Regula Rules](https://github.com/fugue/regula) - 适用于 Terraform 的 OPA/Rego 规则库，涵盖 CIS 基准和自定义合规检查。⚠️ - [Regal](https://docs.styra.com/regal) - Rego 策略的 Linter，内置 50+ 条规则，涵盖正确性、风格和性能。在策略进入生产前捕获错误和反模式。 - [tflint-ruleset-opa](https://github.com/terraform-linters/tflint-ruleset-opa) - TFLint 插件，支持使用 Rego 编写自定义合规规则，桥接 Terraform 原生 Linting 与 OPA 策略评估。 ### Sentinel Libraries - [terraform-sentinel-policies](https://github.com/hashicorp/terraform-sentinel-policies) - 适用于 Terraform Cloud/Enterprise 的示例 Sentinel 策略，展示常见合规模式。 - [Terraform Foundational Policies](https://github.com/hashicorp/terraform-foundational-policies-library) - HashiCorp 官方 Sentinel 策略库，涵盖 AWS、Azure 和 GCP 的 CIS 基准。⚠️ ### Guard Rule Libraries *适用于 CloudFormation Guard 的规则库，用于评估 Terraform 计划 JSON。* - [AWS Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry) - AWS 官方 Guard 规则注册表，涵盖 CIS、NIST、PCI DSS、HIPAA 和 SOC 2 合规框架，适用于 Terraform 计划 JSON（通过 cfn-guard）。 ## Terraform Automation Platforms *具备内置策略执行的远程执行平台，用于 Terraform 和 OpenTofu。与下方 CI/CD 集成不同，这些平台会完全替代或封装流水线。* - [HCP Terraform and Terraform Enterprise](https://developer.hashicorp.com/terraform/cloud-docs) - HashiCorp 的 Terraform 执行平台，内置 Sentinel 和 OPA 策略执行、审计日志和团队访问控制，提供云托管（HCP Terraform）和自托管（Terraform Enterprise）选项。💲 🆓 - [Spacelift](https://spacelift.io/) - 具备内置 OPA 策略评估、漂移检测和自定义策略框架的 Terraform 和 OpenTofu 自动化平台。💲 🆓 - [env0](https://www.env0.com/) - 集成 OPA 和 Checkov 策略、成本治理和环境生命周期管理的 Terraform 和 OpenTofu 自动化平台。💲 🆓 - [Scalr](https://scalr.com/) - 具备 OPA 策略执行和跨组织、账户、环境层级策略继承的 Terraform 自动化平台。💲 🆓 - [Terrateam](https://terrateam.io/) - 基于 GitHub 和 GitLab Pull Request 的 GitOps 驱动 Terraform 和 OpenTofu 自动化，支持 OPA 策略执行、漂移检测和访问控制。💲 🆓 ## CI/CD and Platform Integration *将 Terraform 合规性检查集成到部署流水线的工具和模式。* - [Terraform Cloud Run Tasks](https://developer.hashicorp.com/terraform/cloud-docs/integrations/run-tasks) - 为 Terraform Cloud/Enterprise 运行添加合规检查的集成点。 - [Atlantis](https://www.runatlantis.io/) - 支持预应用策略检查钩子的自托管 Terraform 拉取请求自动化工具。 - [Pre-commit Terraform](https://github.com/antonbabenko/pre-commit-terraform) - 包含 Linting、验证和安全扫描的 Git 预提交钩子集合。 - [trunk.io](https://trunk.io/) - 开发者工具平台，内置 Checkov、tflint 和 Trivy 的 Terraform Linter 编排。💲 🆓 - [Cloud Security Plugin](https://github.com/NordCoderd/cloud-security-plugin) - JetBrains IDE 插件（IntelliJ、PyCharm 等），支持 IaC 安全扫描，可在编辑器中进行左移检测。 ## Learning Resources ### Articles - [Policy as Code on AWS](https://aws.amazon.com/blogs/infrastructure-and-automation/a-practical-guide-to-getting-started-with-policy-as-code/) - AWS 实践指南，介绍如何在基础设施工作流中实施策略即代码。 - [Terraform Best Practices](https://www.terraform-best-practices.com/) - 社区维护的指南，涵盖 Terraform 约定和模式，包括安全和合规考量。已翻译成 20 多种语言。 - [A Deep Dive into Terraform Static Code Analysis Tools](https://devdosvid.blog/2024/04/16/a-deep-dive-into-terraform-static-code-analysis-tools-features-and-comparisons/) - Terraform 安全扫描工具的并排对比及功能矩阵。 - [Shifting Cloud Security Left: Scanning Infrastructure as Code for Security Issues](https://blog.christophetd.fr/shifting-cloud-security-left-scanning-infrastructure-as-code-for-security-issues/) - Christophe Tafani-Dereeper 撰写的指南，介绍如何将 IaC 安全扫描器集成到开发流程，涵盖 tfsec、Checkov 和 Terrascan。 - [Run Security Scans on Terraform and OpenTofu with Trivy and GitHub Actions](https://janik6n.net/posts/run-security-scans-on-terraform-and-opentofu-project-with-trivy-and-github-actions/) - 分步指南，介绍如何在 GitHub Actions 流水线中自动化 Trivy 误配置扫描，适用于 Terraform 和 OpenTofu 项目。 - [Compliant Secrets with Terraform](https://infrahouse.com/blog/2024-09-30-compliant-secrets/) - 在不将敏感值暴露于状态文件的前提下管理 Terraform 密钥的模式，涵盖 AWS Secrets Manager 和合规凭证处理。 - [ISO 27001 on AWS with Terraform](https://infrahouse.com/blog/2026-03-28-iso-27001-on-aws/) - 使用 Terraform 在 AWS 上实践 ISO 27001 控制的实际操作指南，包含控制项到资源的映射。 ### Conference Talks - [Securely Deploying Infrastructure as Code](https://www.youtube.com/watch?v=tPdDS3UZpOQ) - Chris Ayers 在 NDC Security 2023 上的分享，介绍如何将 Checkov、tfsec 和密钥检测等 Terraform 安全扫描工具集成到 CI/CD 流水线。 - [Supply Chain Attacks in the Terraform Registry](https://www.youtube.com/watch?v=BZavu1e9eag) - Kyle Kotowick 在 NDC Security 2025 上的演示，展示了针对公共 Terraform Registry 的类型劫持和恶意模块攻击向量。 - [Managing Policy as Code With Terraform and Sentinel](https://www.youtube.com/watch?v=z_m4fFYym30) - HashiCorp 深入探讨，使用 Sentinel 策略在 Terraform Cloud 运行中实施合规护栏和基础策略库。 - [Policy as Code: IT Governance With HashiCorp Sentinel](https://www.youtube.com/watch?v=ORi4ZNcUVwg) - Chris Marchesi 在 HashiConf 2019 上的介绍，讲解 Sentinel 作为 Terraform、Vault、Consul 和 Nomad 企业治理的策略即代码框架。 - [Open Policy Agent (OPA) Intro and Deep Dive](https://www.youtube.com/watch?v=hENwFyrtm1g) - Anders Eknert (Styra) 和 Xander Grzywinski (Microsoft) 在 KubeCon NA 2024 上的分享，涵盖 OPA 基础及通过 Conftest 在生产环境中验证 Terraform 计划。 ### Books - [Terraform: Up & Running](https://www.terraformupandrunning.com/) - Yevgeniy Brikman 的 Terraform 指南，涵盖模块、测试、生产模式及团队工作流。 - [Infrastructure as Code](https://infrastructure-as-code.com/) - Kief Morris 的指南，介绍如何通过自动化管理基础设施，涵盖合规和治理模式。 ### Courses - [Styra Academy](https://academy.styra.com/) - 关于 OPA、Rego 和策略即代码的免费课程，适用于基础设施和应用授权。 - [HashiCorp Sentinel Training](https://developer.hashicorp.com/sentinel/tutorials) - 编写 Terraform Cloud/Enterprise 中 Sentinel 策略的官方教程。 ### Newsletters - [weekly.tf](https://www.weekly.tf/) - 每周通讯，涵盖 Terraform、OpenTofu 和基础设施即代码生态系统新闻。 - [tl;dr sec](https://tldrsec.com/) - 每周通讯，涵盖安全工具、策略和合规工程。 - [CloudSecList](https://cloudseclist.com/) - 精选的云安全通讯，涵盖 IaC 安全、CSPM 和合规工具。 ## Related Awesome Lists - [awesome-tf](https://github.com/shuaibiyy/awesome-tf) - 精选的 Terraform 和 OpenTofu 资源。 - [awesome-cloud-security](https://github.com/4ndersonLin/awesome-cloud-security) - AWS、Azure 和 GCP 的云安全资源。 - [awesome-devsecops](https://github.com/JakobTheDev/awesome-devsecops) - DevSecOps 工具和资源，包括 IaC 安全。 - [awesome-opa](https://github.com/open-policy-agent/awesome-opa) - Open Policy Agent 工具、框架和文章。 - [awesome-oscal](https://github.com/oscal-club/awesome-oscal) - OSCAL 生态系统工具和资源。 ## Curation Policy 本列表为精选内容，非简单集合。每项条目必须通过以下门槛： **接受标准：** - 适用于 Terraform 或 OpenTofu 工作流的工具、模块或资源 - 持续维护（过去 12 个月有活跃；开源项目需 20+ GitHub stars） - 解决 IaC 层的特定合规、安全、治理或证据问题 - 框架参考必须映射到可实现的 Terraform 资源控制，而非仅描述框架 **不接受标准：** - 仅限 Kubernetes 的策略工具，无 Terraform 集成路径 - 缺乏 Terraform/IaC 集成的通用云安全或 GRC 平台 - 纯学习资源或产品文档页面（学习资源必须具教育性而非营销性） - 已弃用、归档或停止维护的项目（使用 ⚠️ 标注近期弃用；移除真正废弃项目） - 重复条目（涵盖同一工具的多个角度） - 仅限云控制台可用的工具，无 Terraform 资源或 Provider 支持 ## Contributing 欢迎贡献！请先阅读[贡献指南](contributing.md)。

标签：AWS, Azure, CIS 基准, DPI, EC2, ECS, FedRAMP, GCP, Groq API, Guard, IaC, NIST, OPA, OpenTofu, OSCAL, PCI DSS, Rego, Sentinel, SOC 2, Terraform, Terraform测试, Terraform 自动化平台, 书籍, 会议演讲, 合规, 合规框架, 合规模块, 多云, 多框架扫描, 学习资源, 安全, 安全扫描, 平台集成, 文章, 新闻通讯, 时序注入, 标准, 治理, 漂移检测, 漏洞利用示例, 策略库, 策略引擎, 结构化提示词, 网络安全挑战, 规则集, 证据与审计, 课程, 超时处理, 靶场