CDK Insights

¿Qué es CDK Insights?

CDK Insights es una herramienta de análisis impulsada por IA para proyectos de AWS CDK. Escanea el código fuente de tu infraestructura para detectar brechas de seguridad, problemas de cumplimiento y desperdicio de costos, y proporciona hallazgos basados tanto en análisis estático basado en reglas como en interpretación asistida por IA.

El propósito principal del producto es ayudar a los equipos a detectar configuraciones erróneas y patrones riesgosos antes de que lleguen a los despliegues en producción. Soporta escaneos directamente desde tu entorno local (“el código nunca sale de tu máquina”) y puede emitir resultados en múltiples formatos para adaptarse a diferentes flujos de trabajo.

Características principales

• Análisis estático con más de 100 reglas en +35 servicios de AWS: Detecta problemas de seguridad, cumplimiento y mejores prácticas mediante verificaciones basadas en reglas alineadas con el código fuente de CDK.
• Análisis profundo impulsado por IA con AWS Bedrock: Añade recomendaciones conscientes del contexto y sugerencias enfocadas en el código más allá de lo que capturan las reglas estáticas.
• Cobertura de seguridad y cumplimiento con ejemplos de hallazgos: Marca problemas como buckets S3 públicos, políticas IAM con comodines y falta de cifrado en recursos.
• Verificaciones de optimización de costos: Identifica reducciones potenciales de gasto (p. ej., señales de dimensionamiento de memoria de Lambda, falta de política de ciclo de vida de S3, intelligent tiering desactivado).
• Múltiples formatos de salida para diferentes herramientas: Exporta resultados como JSON, Markdown, Table, Summary y SARIF (incluyendo soporte para flujos de trabajo de GitHub Code Scanning).
• Flujo de trabajo centrado en terminal para retroalimentación rápida: Se ejecuta como herramienta de línea de comandos para escaneos rápidos, con resultados reportados en tu entorno local.
• Panel web para historial de análisis y gestión de licencias: Proporciona acceso a análisis previos y control de licencias a través de un panel.

Cómo usar CDK Insights

1. Instala la CLI: Usa npm install -g cdk-insights.
2. Ejecuta un escaneo: En tu proyecto, ejecuta cdk-insights scan para analizar tus stacks de AWS CDK.
3. Revisa los resultados localmente: Inspecciona los hallazgos reportados por el escaneo, incluyendo problemas de seguridad/cumplimiento y optimización de costos.
4. Elige un formato de salida: Exporta hallazgos en JSON, Markdown, tabla, resumen o SARIF según si revisas manualmente o integras con CI/GitHub.
5. Usa el panel si es necesario: Accede al historial de análisis y gestiona licencias a través del panel web.

Casos de uso

• Revisión de seguridad pre-despliegue para cambios en CDK: Ejecuta escaneos en código CDK antes de fusionar o desplegar para identificar problemas críticos como acceso público a S3 y políticas IAM demasiado permisivas.
• Endurecimiento de infraestructura orientado a cumplimiento: Usa hallazgos basados en reglas para detectar cifrado faltante en recursos (bases de datos, colas y almacenamiento) y abordarlos antes de auditorías.
• Verificaciones de preparación operativa para brechas de monitoreo: Identifica configuraciones faltantes de monitoreo/registro que dificultan la detección de incidentes en producción (p. ej., ausencia de alarmas o trails).
• Ajuste de costos para rendimiento y almacenamiento: Detecta señales como alta asignación de memoria de Lambda y políticas de ciclo de vida de S3 faltantes, luego aplica ajustes sugeridos.
• Integra resultados en flujos de trabajo de desarrolladores: Exporta hallazgos como SARIF para GitHub Code Scanning o usa salidas JSON/Markdown/tabla para informes y revisiones en CI/CD.

Preguntas frecuentes

• ¿Sale mi código fuente de CDK de mi máquina? El sitio indica que el “código nunca sale de tu máquina”.

• ¿Qué métodos de análisis usa CDK Insights? Combina análisis estático (verificaciones basadas en reglas) con análisis impulsado por IA que proporciona recomendaciones conscientes del contexto.

• ¿Cuántas reglas y servicios de AWS cubre? La página del producto menciona más de 100 reglas y cobertura en +35 servicios de AWS (y una descripción de escaneo de ejemplo referencia 34 servicios en un flujo de muestra).

• ¿Qué formatos de salida están disponibles? La página lista JSON, Markdown, Table, Summary y SARIF.

• ¿Cómo empezar sin complejidad de configuración? El flujo “Zero to Insights” descrito en la página enfatiza una sola ejecución de comando para escanear (no se menciona registro para análisis estático).

Alternativas

• Linters estáticos de seguridad para infraestructura como código (IaC): Herramientas que se centran principalmente en verificaciones basadas en reglas para patrones de CDK/CloudFormation/Terraform pueden cubrir misconfiguraciones “obvias” similares, aunque no incluyan recomendaciones basadas en IA y conscientes del contexto.
• Escáneres de políticas como código para configuraciones en la nube: Alternativas que aplican seguridad/cumplimiento mediante definiciones de políticas pueden ofrecer flujos de gobernanza, típicamente centrados en la evaluación de políticas en lugar de interpretación específica de IA para CDK.
• Gestión de postura de seguridad nativa de la nube (CSPM): Los productos CSPM evalúan recursos desplegados para detectar problemas de seguridad/cumplimiento. Comparados con CDK Insights, suelen operar en infraestructura en ejecución en lugar de escanear código fuente antes del despliegue.
• Escaneo general de código CI/CD (estilo SAST) para infraestructura: Plataformas que ingieren artefactos de escaneo (p. ej., SARIF) pueden centralizar hallazgos en solicitudes de extracción. Pueden diferir en cobertura si no están adaptadas a constructos de AWS CDK y contexto de remediación.