IaC validieren.
Sicher deployen.
WAFPass prüft deine Infrastructure-as-Code automatisch gegen WAF++-Controls — Terraform, AWS CDK und mehr. Statische Analyse. Keine Cloud-Credentials. Kein Laufzeit-State. Ergebnisse in Sekunden.
Platform · Architecture · Strategy · Standards
WAFPass wendet vier PASS-Perspektiven als automatisierte Checks an — nachvollziehbar, wiederholbar und auditierbar auf jeder Cloud und jedem IaC-Framework.
Validiert Tagging-Strategien, Ressourcenkonfiguration und Account-Leitplanken — vollautomatisch, bei jedem Lauf.
Prüft Netzwerk-Topologie, Datenresidenz und Sovereignty-Anforderungen gegen providerneutrale WAF++-Controls.
Setzt Governance- und Cost-Policies als Code durch — damit strategische Entscheidungen langfristig und teamübergreifend tragen.
Wendet Zero-Trust-Prinzipien, IAM Least-Privilege, Encryption-at-Rest und Security-Hardening-Controls direkt auf dein IaC an — ausgewertet pro Ressource mit PASS-, FAIL-, SKIP- oder WAIVED-Ergebnissen für jeden Check. Die meinungsstärkste PASS-Perspektive, hinterlegt mit WAF++-Security-Controls gemappt auf DSGVO, BSI C5, ISO 27001, SOC 2 und HIPAA.
Nicht nur Terraform
WAFPass nutzt eine Plugin-Architektur — dieselben Controls funktionieren für verschiedene IaC-Frameworks, ohne dass Engine oder YAML-Definitionen geändert werden müssen.
Parst .tf-Dateien mit HCL2. Funktioniert vor terraform apply — kein Plan-File, kein State, kein Cloud-Zugriff nötig.
Liest synthetisierte CloudFormation-Templates aus cdk.out/. cdk synth ausführen, dann WAFPass — kein CDK CLI zur Laufzeit nötig.
Plugin-Skelette sind vorhanden — bereit für Community-Beiträge. Die gleichen YAML-Controls funktionieren, sobald das Plugin implementiert ist.
Mehrere Pfade für einen Scan über mehrere Provider: wafpass check ./aws ./azure ./gcp — ein unified Report.
In drei Schritten vom Code zur Compliance
WAFPass folgt einem einfachen, vorhersehbaren Ablauf — kein Cloud-Zugriff, keine Agents, keine Magie. Nur dein IaC und die WAF++-Controls.
wafpass check <PFAD> gegen eine Datei oder ein Verzeichnis ausführen — Terraform .tf-Dateien oder ein CDK-Projekt (nach cdk synth). Plugin wählen mit --iac terraform oder --iac cdk. Multi-Cloud: mehrere Pfade in einem Befehl.
WAFPass parst das IaC via das gewählte Plugin und wendet YAML-Control-Assertions über alle 7 Säulen an — mit 20+ Operatoren. Controls sind engine-getaggt: Terraform-Checks laufen nur gegen Terraform, CDK-Checks gegen CDK. Filterbar nach Säule, Control-ID oder Schweregrad.
Jeder Control liefert PASS, FAIL, SKIP oder WAIVED — mit klaren Remediation-Hinweisen für jeden Fehler und dokumentierten Begründungen für akzeptierte Ausnahmen. Aggregiert in einem PDF-Report für Team, ADR oder Auditoren.
Vollständiger Visualisierungs-Stack
WAFPass v0.4.0 ist eine Drei-Komponenten-Architektur: Das CLI bleibt die Evaluierungs-Engine, wafpass-dashboard (React / Vite SPA, Docker + nginx) visualisiert Ergebnisse im Browser, und wafpass-server (FastAPI / PostgreSQL) persistiert Runs, Controls, Waivers, Risiko-Akzeptanzen und Secret-Findings über eine REST-API.
Dashboard, Compliance, Gap-Analyse, Findings, Änderungen & Drift, Blast-Radius, Secret-Scanner, Modul-Scores, Kostenauswirkung, Evidence, Audit-Log, Run-Vergleich, Waivers, Risiko-Akzeptanz und mehr — jede mit Filterung, Drill-down, Massenaktionen und Deep-Links.
Visualisiert Ressourcen-Änderungen eines Terraform-Plan-Dry-Runs vor terraform apply. Eine dedizierte Drift-Ansicht zeigt Controls, die zwischen Runs ihren Status geändert haben, ohne Code-Änderung.
Angriffsketten werden mit Schweregrad-Badges und Remediation-Links visualisiert. Blast-Radius-Graphen zeigen die Ausbreitung von Fehlern über abhängige Ressourcen.
Erstellt einen eigenständigen zeitgestempelten HTML-Bericht mit bestandenen Controls, regulatorischem Mapping (SOC2, ISO 27001, PCI-DSS, DSGVO, BSI C5, HIPAA), aktiven Waivers und Risiko-Akzeptanzen. Als PDF druckbar.
wafpass-server speichert Run-Ergebnisse, Secret-Findings, Waivers und Risiko-Akzeptanzen in PostgreSQL über Alembic-verwaltete Migrationen. Containerisiert mit automatischer Migration beim Start — bereit für Produktion.
Drei Tools. Ein Stack.
WAFPass v0.4.0 ist ein modulares Ökosystem — jede Komponente hat eine klare, eigenständige Verantwortlichkeit und kann solo oder im Verbund betrieben werden.
wafpass
CLI · Evaluierungs-Engine Python · Apache 2.0Das Herzstück des Ökosystems. Parst IaC (Terraform, AWS CDK), wertet YAML-Controls über alle 7 WAF++-Säulen aus und liefert strukturierte Ergebnisse. Jede andere Komponente im Stack konsumiert, was das CLI produziert. Läuft vollständig offline — keine Cloud-Credentials, kein Laufzeit-State.
wafpass-dashboard
React / Vite SPA Docker + nginx · Apache 2.0Die Browser-basierte Visualisierungsschicht. Verbindet sich mit wafpass-server und rendert Control-Ergebnisse, Compliance-Status, Exploit-Pfade, Terraform-Plan-Änderungen, Waivers, Risiko-Akzeptanzen und Audit-Ereignisse. Als eigenständiger Docker-Container hinter nginx betrieben — solo oder als Teil des Stacks.
wafpass-server
FastAPI / PostgreSQL Docker · Apache 2.0Die Persistenz- und API-Schicht. Speichert Run-Ergebnisse, Control-Metadaten, Secret-Findings, Waivers und Risiko-Akzeptanzen in PostgreSQL. Stellt eine typisierte REST-API (mit OpenAPI-Docs) bereit, die von wafpass-dashboard konsumiert wird. Alembic-Migrationen laufen automatisch beim Container-Start — kein manuelles Schema-Management.
/api/docs
Produktionsreifes Docker-Image mit GitHub-Actions-Release-Workflow
Jede Komponente ist unabhängig deploybar. Das CLI allein reicht für CI/CD-Pipelines. Server und Dashboard kommen hinzu, wenn du persistenten Verlauf und visuelle Exploration brauchst.
Gebaut für echte Engineering-Workflows
WAFPass ist ein kontinuierliches Compliance-Gate — kein Checkbox-Tool. Jede Funktion ist auf die Art gebaut, wie Engineers tatsächlich Infrastruktur ausliefern.
Automatische Validierung
Über 20 Assertion-Operatoren werten IaC-Ressourcen gegen Controls aus — vollautomatisch für statische Analyse, klar markiert für Runtime-Checks, die Cloud-State erfordern.
Säulen- & Schweregrad-Filterung
Checks für eine einzelne Säule, Control-IDs oder einen Mindestschweregrad: --pillar cost, --controls WAF-SEC-001, --severity high.
CI/CD-Integration
GitHub Actions und GitLab CI Beispiele inklusive. Konfigurierbare Exit-Codes via --fail-on fail|skip|any — Merges nur bei echten Verstößen blockieren.
Intentionale Waivers
Controls bewusst überspringen mit schriftlicher Begründung in .wafpass-skip.yml. WAIVED-Controls erscheinen im PDF-Report und brechen nie CI — auch abgelaufene Waivers lösen nur eine Warnung aus.
Remediation-Hinweise
Jedes FAIL enthält klare Hinweise, was geändert werden muss — kein Raten. Remediation ist Teil der Control-YAML und damit versioniert wie der Rest des Codes.
PDF Compliance-Reports
Teilbaren PDF mit --output pdf erzeugen. Enthält Findings, Schweregrad, Remediation und eine Waived-Controls-Tabelle — bereit für Auditoren, ADRs oder Security-Reviews.
Policy-Versions-Tracking
Jede Control trägt ein Policy-Versionsfeld. WAFPass erkennt veraltete Controls, die nicht mehr mit der aktuellen Framework-Version übereinstimmen — die Control-Bibliothek bleibt synchron, während WAF++ weiterentwickelt wird.
Einstellungs-Persistenz
CLI- und Dashboard-Einstellungen — API-URL, Report-Präferenzen, Schwellenwerte — werden sitzungsübergreifend gespeichert. Einmal konfigurieren, nie wieder zwischen Runs wiederholen.
Mehr als Pass und Fail
WAFPass ergänzt Control-Checks um tiefe Compliance-Intelligenz — Terraform-Plan-Analyse, Exploit-Pfad-Tracking, Blast-Radius-Bewertung, Secret-Erkennung, Drift-Erkennung, Evidence-Pakete, regulatorische Gap-Analyse und Umweltauswirkungen in jedem Scan.
Terraform-Plan-Analyse
WAFPass parst Terraform-Plan-Output und bewertet den Security-, Compliance- und Blast-Radius-Impact ausstehender Änderungen — vor terraform apply. Regressionen im Plan erkennen, nicht erst in der Produktion.
Exploit-Pfad-Analyse
Controls können die vollständige Angriffskette aufzeigen, die zu einem fehlschlagenden Zustand führt — nicht nur ein binäres Ergebnis. Exploit-Pfade werden im Dashboard mit Schweregrad-Badges und Remediation-Links visualisiert.
Auto-Fix-Engine
Für unterstützte Controls generiert WAFPass konkreten Remediation-Code — nicht nur Hinweistext. Automatische Fixes sind im Dashboard und CLI-Output sichtbar und reduzieren die Zeit von FAIL bis Merge.
Secret-Scanner
Erkennt exponierte Secrets in IaC-Konfigurationen — API-Keys, Tokens und Credentials, die in Ressourcendefinitionen oder Variable-Files stecken — mit umsetzbaren Remediation-Hinweisen für jeden Fund.
Blast-Radius-Bewertung
Jede Control trägt einen Blast-Radius-Score, der den potenziellen Ausfallimpakt quantifiziert. Teams können Remediation nach tatsächlichem Risikoexposure priorisieren — nicht nur nach Schweregrad.
Carbon-Footprint & ESG
Das ESG-Modul schätzt den CO₂-Einfluss jeder Cloud-Workload-Entscheidung. Pro Control erfasst und automatisch in PDF-Compliance-Reports integriert — Nachhaltigkeitsnachweis neben Security-Findings.
Einfach einzurichten Beta
WAFPass benötigt Python 3.10+ und deine vorhandenen IaC-Dateien. Keine Cloud-Credentials, kein Laufzeit-State — nur dein Code und die Controls.
Installation via GitHub-Release-Artifact (pip install wafpass-*.whl) oder aus dem Quellcode nach dem Klonen (pip install -e . / uv pip install -e .). Keine Cloud-Abhängigkeiten — läuft überall, wo Python läuft.
Terraform .tf-Dateien oder CDK-Projekt mit cdk.out/. Datei, Verzeichnis oder mehrere Pfade für Multi-Cloud-Scans.
Controls aus dem WAF++-Framework-Repo in ein lokales controls/-Verzeichnis kopieren oder unten herunterladen. Eigene YAML-Controls möglich — gleiche Engine, gleiches Format.
PyPI ist mit v1.0 verfügbar. Bis dahin via GitHub-Release-Artifact (aktuell: v0.4.0) oder aus dem Quellcode installieren.
Passt zu gängigen Frameworks
WAFPass-Controls sind auf weit verbreitete Compliance-Frameworks gemappt — damit deine PDF-Reports für Auditoren und Stakeholder sofort verwertbar sind.
Datenresidenz, Verschlüsselung und Zugangskontrolle.
BSI Cloud Computing Compliance Criteria Catalogue.
Systematisches Informationssicherheits-Management.
Security-, Verfügbarkeits- und Vertraulichkeits-Controls.
Bereit, deine Infrastruktur zu validieren?
WAF++-Controls herunterladen, WAFPass gegen deinen Terraform- oder CDK-Code ausführen und in Minuten einen vollständigen Compliance-Report erhalten — ganz ohne Cloud-Zugriff.