IaC validieren.
Sicher deployen.
WAFPass prüft deine Infrastructure-as-Code automatisch gegen WAF++-Controls — Terraform, AWS CDK und mehr. Statische Analyse. Keine Cloud-Credentials. Kein Laufzeit-State. Ergebnisse in Sekunden.
Platform · Architecture · Strategy · Standards
WAFPass wendet vier PASS-Perspektiven als automatisierte Checks an — nachvollziehbar, wiederholbar und auditierbar auf jeder Cloud und jedem IaC-Framework.
Validiert Tagging-Strategien, Ressourcenkonfiguration und Account-Leitplanken — vollautomatisch, bei jedem Lauf.
Prüft Netzwerk-Topologie, Datenresidenz und Sovereignty-Anforderungen gegen providerneutrale WAF++-Controls.
Setzt Governance- und Cost-Policies als Code durch — damit strategische Entscheidungen langfristig und teamübergreifend tragen.
Wendet Zero-Trust-Prinzipien, IAM Least-Privilege, Encryption-at-Rest und Security-Hardening-Controls direkt auf dein IaC an — ausgewertet pro Ressource mit PASS-, FAIL-, SKIP- oder WAIVED-Ergebnissen für jeden Check. Die meinungsstärkste PASS-Perspektive, hinterlegt mit WAF++-Security-Controls gemappt auf DSGVO, BSI C5, ISO 27001, SOC 2 und HIPAA.
Nicht nur Terraform
WAFPass nutzt eine Plugin-Architektur — dieselben Controls funktionieren für verschiedene IaC-Frameworks, ohne dass Engine oder YAML-Definitionen geändert werden müssen.
Parst .tf-Dateien mit HCL2. Funktioniert vor terraform apply — kein Plan-File, kein State, kein Cloud-Zugriff nötig.
Liest synthetisierte CloudFormation-Templates aus cdk.out/. cdk synth ausführen, dann WAFPass — kein CDK CLI zur Laufzeit nötig.
Plugin-Skelette sind vorhanden — bereit für Community-Beiträge. Die gleichen YAML-Controls funktionieren, sobald das Plugin implementiert ist.
Mehrere Pfade für einen Scan über mehrere Provider: wafpass check ./aws ./azure ./gcp — ein unified Report.
In drei Schritten vom Code zur Compliance
WAFPass folgt einem einfachen, vorhersehbaren Ablauf — kein Cloud-Zugriff, keine Agents, keine Magie. Nur dein IaC und die WAF++-Controls.
wafpass check <PFAD> gegen eine Datei oder ein Verzeichnis ausführen — Terraform .tf-Dateien oder ein CDK-Projekt (nach cdk synth). Plugin wählen mit --iac terraform oder --iac cdk. Multi-Cloud: mehrere Pfade in einem Befehl.
WAFPass parst das IaC via das gewählte Plugin und wendet YAML-Control-Assertions über alle 7 Säulen an — mit 20+ Operatoren. Controls sind engine-getaggt: Terraform-Checks laufen nur gegen Terraform, CDK-Checks gegen CDK. Filterbar nach Säule, Control-ID oder Schweregrad.
Jeder Control liefert PASS, FAIL, SKIP oder WAIVED — mit klaren Remediation-Hinweisen für jeden Fehler und dokumentierten Begründungen für akzeptierte Ausnahmen. Aggregiert in einem PDF-Report für Team, ADR oder Auditoren.
Gebaut für echte Engineering-Workflows
WAFPass ist ein kontinuierliches Compliance-Gate — kein Checkbox-Tool. Jede Funktion ist auf die Art gebaut, wie Engineers tatsächlich Infrastruktur ausliefern.
Automatische Validierung
Über 20 Assertion-Operatoren werten IaC-Ressourcen gegen Controls aus — vollautomatisch für statische Analyse, klar markiert für Runtime-Checks, die Cloud-State erfordern.
Säulen- & Schweregrad-Filterung
Checks für eine einzelne Säule, Control-IDs oder einen Mindestschweregrad: --pillar cost, --controls WAF-SEC-001, --severity high.
CI/CD-Integration
GitHub Actions und GitLab CI Beispiele inklusive. Konfigurierbare Exit-Codes via --fail-on fail|skip|any — Merges nur bei echten Verstößen blockieren.
Intentionale Waivers
Controls bewusst überspringen mit schriftlicher Begründung in .wafpass-skip.yml. WAIVED-Controls erscheinen im PDF-Report und brechen nie CI — auch abgelaufene Waivers lösen nur eine Warnung aus.
Remediation-Hinweise
Jedes FAIL enthält klare Hinweise, was geändert werden muss — kein Raten. Remediation ist Teil der Control-YAML und damit versioniert wie der Rest des Codes.
PDF Compliance-Reports
Teilbaren PDF mit --output pdf erzeugen. Enthält Findings, Schweregrad, Remediation und eine Waived-Controls-Tabelle — bereit für Auditoren, ADRs oder Security-Reviews.
Einfach einzurichten Beta
WAFPass benötigt Python 3.10+ und deine vorhandenen IaC-Dateien. Keine Cloud-Credentials, kein Laufzeit-State — nur dein Code und die Controls.
Installation mit pip install -e . oder uv pip install -e . (empfohlen). Keine Cloud-Abhängigkeiten — läuft überall, wo Python läuft.
Terraform .tf-Dateien oder CDK-Projekt mit cdk.out/. Datei, Verzeichnis oder mehrere Pfade für Multi-Cloud-Scans.
Controls aus dem WAF++-Framework-Repo in ein lokales controls/-Verzeichnis kopieren oder unten herunterladen. Eigene YAML-Controls möglich — gleiche Engine, gleiches Format.
PyPI-Verfügbarkeit ist für das v1-Release geplant. Dem Projekt auf GitHub folgen für Updates.
Passt zu gängigen Frameworks
WAFPass-Controls sind auf weit verbreitete Compliance-Frameworks gemappt — damit deine PDF-Reports für Auditoren und Stakeholder sofort verwertbar sind.
Datenresidenz, Verschlüsselung und Zugangskontrolle.
BSI Cloud Computing Compliance Criteria Catalogue.
Systematisches Informationssicherheits-Management.
Security-, Verfügbarkeits- und Vertraulichkeits-Controls.
Bereit, deine Infrastruktur zu validieren?
WAF++-Controls herunterladen, WAFPass gegen deinen Terraform- oder CDK-Code ausführen und in Minuten einen vollständigen Compliance-Report erhalten — ganz ohne Cloud-Zugriff.