Что произошло

Бенчмарк на AWS c7g.2xlarge, Terraform 1.9.0, дефолтные policy sets, три прогона, дедупликация и ручная валидация FP тремя инженерами. В тестовых модулях намеренно заложены типичные дыры: публичный S3 ACL, Principal: "*", отсутствие encryption, removed block с destroy = false, непомеченный sensitive в terraform_data.

Checkov 2.3.8+ добавил политики под фичи TF 1.9 (removed, terraform_data); автор утверждает, что Snyk 1.1290 покрывает лишь часть из 12 новых правил Checkov — отсюда разрыв на AWS-модулях до ~22%.

Почему это важно

IaC-сканирование — первая линия до продакшена. Пропуск 20% misconfig в S3/RDS — это не абстрактная статистика, а инциденты (в кейсе fintech — три мелких до миграции).

На практике

1. Terraform 1.9+ — включите CKV_TF_1…CKV_TF_3 для removed и sensitive input в terraform_data.
2. Малая команда (<5 DevOps) — Snyk GitHub App для PR; ночной Checkov batch для «хвоста» находок (~99% покрытие в гибриде из статьи).
3. Миграция — 30 дней параллельных сканов (snyk iac test + checkov -d), тюнинг FP, обучение формата отчётов.
4. Не верьте чужому 20% — прогоните на своих модулях (микс AWS/GCP/Azure сдвигает дельту).

Checkov выигрывает на AWS и кастомных политиках; Snyk — на скорости внедрения и едином дашборде с container/SCA.

Итог

Для зрелой платформенной команды с TF 1.9 Checkov 2.3 выглядит сильнее по покрытию и TCO. Для стартапов с малым DevOps Snyk остаётся разумным входом, если дополнить ночным Checkov. Выбор — не религия, а гибрид + параллельный аудит перед сменой инструмента.