Bridgecrew.io
  • About Bridgecrew by Prisma Cloud
Checkov home
  • Docs
    • Quick start
    • Overview
    • Integrations
  • Download
  • Try Bridgecrew
  • Docs
    • Quick start
    • Overview
    • Integrations

Checkov Documentation

  • 1.Welcome
    • What is Checkov?
    • Terms and Concepts
    • Quick Start
    • Feature Descriptions
  • 2.Basics
    • Installing Checkov
    • CLI Command Reference
    • Suppressing and Skipping Policies
    • Hard and soft fail
    • Scanning Credentials and Secrets
    • Reviewing Scan Results
    • Visualizing Checkov Output
    • Handling Variables
  • 3.Custom Policies
    • Custom Policies Overview
    • Python Custom Policies
    • YAML Custom Policies
    • Custom YAML Policies Examples
    • Sharing Custom Policies
  • 4.Integrations
    • Jenkins
    • Bitbucket Cloud Pipelines
    • GitHub Actions
    • GitLab CI
    • Kubernetes
    • Pre-Commit
    • Docker
  • 5.Policy Index
    • all resource scans
    • ansible resource scans
    • argo_workflows resource scans
    • arm resource scans
    • azure_pipelines resource scans
    • bicep resource scans
    • bitbucket_configuration resource scans
    • bitbucket_pipelines resource scans
    • circleci_pipelines resource scans
    • cloudformation resource scans
    • dockerfile resource scans
    • github_actions resource scans
    • github_configuration resource scans
    • gitlab_ci resource scans
    • gitlab_configuration resource scans
    • kubernetes resource scans
    • openapi resource scans
    • secrets resource scans
    • serverless resource scans
    • terraform resource scans
  • 6.Contribution
    • Checkov Runner Contribution Guide
    • Implementing CI Metadata extractor
    • Implementing ImageReferencer
    • Contribution Overview
    • Contribute Python-Based Policies
    • Contribute YAML-based Policies
    • Contribute New Terraform Provider
    • Contribute New Argo Workflows configuration policy
    • Contribute New Azure Pipelines configuration policy
    • Contribute New Bitbucket configuration policy
    • Contribute New GitHub configuration policy
    • Contribute New Gitlab configuration policy
  • 7.Scan Examples
    • Terraform Plan Scanning
    • Terraform Scanning
    • Helm
    • Kustomize
    • AWS SAM configuration scanning
    • Ansible configuration scanning
    • Argo Workflows configuration scanning
    • Azure ARM templates configuration scanning
    • Azure Pipelines configuration scanning
    • Azure Bicep configuration scanning
    • Bitbucket configuration scanning
    • AWS CDK configuration scanning
    • Cloudformation configuration scanning
    • Dockerfile configuration scanning
    • GitHub configuration scanning
    • Gitlab configuration scanning
    • Kubernetes configuration scanning
    • OpenAPI configuration scanning
    • SCA scanning
      • Package scanning
        • Example output
      • Image scanning
    • Serverless framework configuration scanning
  • 8.Outputs
    • CSV
    • CycloneDX BOM
    • GitLab SAST
    • JUnit XML
    • SARIF
  • 9.Level up
    • Upgrade from Checkov to Bridgecrew
  • Docs
  • 7.scan examples
  • SCA scanning
Edit on GitHub

SCA scanning

Checkov is an SCA (Software Composition Analysis) tool. This means it scans package files and container images for Common Vulnerabilities and Exposures (CVEs).

You can find the full list of the supported package manager types here.

In order to use this feature, you first need to create an API token using Bridgecrew, and make sure you have an internet connection.

Package scanning

checkov -d . --framework sca_package --bc-api-key <your_api_key>

Example output

       _               _              
   ___| |__   ___  ___| | _______   __
  / __| '_ \ / _ \/ __| |/ / _ \ \ / /
 | (__| | | |  __/ (__|   < (_) \ V / 
  \___|_| |_|\___|\___|_|\_\___/ \_/  
                                      
By bridgecrew.io | version: 2.0.1140 


sca_package scan results:

Found CVEs: 35, Skipped CVEs: 0

	/package-lock.json
	┌────────────────────┬────────────────────┬────────────────────┬────────────────────┬────────────────────┬────────────────────┐
	│ Total CVEs: 35     │ critical: 3        │ high: 19           │ medium: 10         │ low: 3             │ skipped: 0         │
	├────────────────────┴────────────────────┴────────────────────┴────────────────────┴────────────────────┴────────────────────┤
	│ To fix 34/35 CVEs, go to https://www.bridgecrew.cloud/                                                                      │
	├────────────────────┬────────────────────┬────────────────────┬────────────────────┬────────────────────┬────────────────────┤
	│ Package            │ CVE ID             │ Severity           │ Current version    │ Fixed version      │ Compliant version  │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ trim-newlines      │ CVE-2021-33623     │ high               │ 1.0.0              │ 3.0.1              │ 3.0.1              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ bson               │ CVE-2020-7610      │ high               │ 1.0.9              │ 1.1.4              │ 1.1.4              │
	│                    │ CVE-2019-2391      │ medium             │                    │ 1.1.4              │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ ramda              │ PRISMA-2021-0154   │ medium             │ 0.24.1             │ N/A                │ None               │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ growl              │ CVE-2017-16042     │ critical           │ 1.9.2              │ 1.10.0             │ 1.10.0             │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ npm                │ CVE-2019-16775     │ high               │ 3.10.10            │ 6.13.3             │ 6.14.6             │
	│                    │ CVE-2019-16777     │ low                │                    │ 6.13.4             │                    │
	│                    │ CVE-2019-16776     │ low                │                    │ 6.13.3             │                    │
	│                    │ CVE-2020-15095     │ low                │                    │ 6.14.6             │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ adm-zip            │ PRISMA-2021-0034   │ high               │ 0.4.4              │ 0.5.3              │ 0.5.3              │
	│                    │ CVE-2018-1002204   │ high               │                    │ 0.4.11             │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ mongodb            │ GHSA-              │ high               │ 2.2.36             │ 3.1.13             │ 3.1.13             │
	│                    │ MH5C-679W-HH4R     │                    │                    │                    │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ minimist           │ CVE-2021-44906     │ critical           │ 0.0.10             │ 1.2.6              │ 1.2.6              │
	│                    │ CVE-2020-7598      │ medium             │                    │ 0.2.1              │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ hawk               │ CVE-2022-29167     │ high               │ 3.1.3              │ 9.0.1              │ 9.0.1              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ uglify-js          │ CVE-2015-8858      │ high               │ 2.4.24             │ 2.6.0              │ 3.14.3             │
	│                    │ PRISMA-2021-0169   │ medium             │                    │ 3.14.3             │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ tap-mocha-reporter │ PRISMA-2022-0098   │ high               │ 2.0.1              │ 5.0.2              │ 5.0.2              │
	│                    │ PRISMA-2022-0097   │ medium             │                    │ 5.0.2              │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ shelljs            │ CVE-2022-0144      │ high               │ 0.3.0              │ 0.8.5              │ 0.8.5              │
	│                    │ GHSA-64G7-MVW6-V9Q │ medium             │                    │ 0.8.5              │                    │
	│                    │ J                  │                    │                    │                    │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ cypress            │ PRISMA-2021-0070   │ medium             │ 3.8.3              │ 7.2.0              │ 7.2.0              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ helmet-csp         │ GHSA-C3M8-X3CG-    │ medium             │ 1.2.2              │ 2.9.1              │ 2.9.1              │
	│                    │ QM2C               │                    │                    │                    │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ marked             │ CVE-2022-21680     │ high               │ 0.3.9              │ 4.0.10             │ 4.0.10             │
	│                    │ CVE-2022-21681     │ high               │                    │ 4.0.10             │                    │
	│                    │ PRISMA-2021-0013   │ medium             │                    │ 1.1.1              │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ cryptiles          │ CVE-2018-1000620   │ critical           │ 2.0.5              │ 4.1.2              │ 4.1.2              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ glob-parent        │ CVE-2020-28469     │ high               │ 3.1.0              │ 5.1.2              │ 5.1.2              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ bl                 │ CVE-2020-8244      │ high               │ 1.0.3              │ 1.2.3              │ 1.2.3              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ diff               │ GHSA-H6CH-V84P-W6P │ high               │ 1.4.0              │ 3.5.0              │ 3.5.0              │
	│                    │ 9                  │                    │                    │                    │                    │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ unset-value        │ PRISMA-2022-0049   │ high               │ 1.0.0              │ 2.0.1              │ 2.0.1              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ grunt              │ CVE-2022-1537      │ high               │ 1.5.2              │ 1.5.3              │ 1.5.3              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ nconf              │ CVE-2022-21803     │ high               │ 0.10.0             │ 0.11.4             │ 0.11.4             │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ hoek               │ CVE-2018-3728      │ medium             │ 2.16.3             │ 4.2.1              │ 4.2.1              │
	├────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┼────────────────────┤
	│ moment             │ CVE-2022-24785     │ high               │ 2.24.0             │ 2.29.2             │ 2.29.2             │
	└────────────────────┴────────────────────┴────────────────────┴────────────────────┴────────────────────┴────────────────────┘

Image scanning

Find here how to run image scanning with checkov

Powered By

  • Slack Community
  • About Bridgecrew
  • Platform
  • Terms of use
  • GitHub
  • Docs
  • Contact Us
  • Privacy policy