CDK Insights

Qu’est-ce que CDK Insights ?

CDK Insights est un outil d’analyse alimenté par l’IA pour les projets AWS CDK. Il analyse votre code source d’infrastructure pour détecter les failles de sécurité, les problèmes de conformité et les gaspillages de coûts, et fournit des résultats basés à la fois sur une analyse statique basée sur des règles et une interprétation assistée par l’IA.

L’objectif principal du produit est d’aider les équipes à repérer les mauvaises configurations et les schémas risqués avant qu’ils n’atteignent les déploiements en production. Il prend en charge l’analyse directement depuis votre environnement local (« le code ne quitte jamais votre machine »), et peut émettre les résultats dans plusieurs formats pour s’adapter à différents workflows.

Fonctionnalités principales

• Analyse statique avec plus de 100 règles sur plus de 35 services AWS : Détecte les problèmes de sécurité, de conformité et de bonnes pratiques grâce à des vérifications basées sur des règles alignées sur le code source CDK.
• Analyse approfondie alimentée par l’IA avec AWS Bedrock : Ajoute des recommandations contextuelles et des suggestions axées sur le code au-delà de ce que captent les règles statiques.
• Couverture sécurité et conformité avec exemples de détections : Signale des problèmes tels que les buckets S3 publics, les politiques IAM avec jokers, et le chiffrement manquant sur les ressources.
• Vérifications d’optimisation des coûts : Identifie les réductions de dépenses potentielles (ex. : dimensionnement de la mémoire Lambda, absence de politique de cycle de vie S3, tiering intelligent désactivé).
• Multiples formats de sortie pour différents outils : Exporte les résultats en JSON, Markdown, Table, Summary, et SARIF (y compris le support des workflows GitHub Code Scanning).
• Workflow orienté terminal pour un feedback rapide : S’exécute en outil en ligne de commande pour des scans rapides, avec résultats rapportés dans votre environnement local.
• Tableau de bord web pour l’historique d’analyse et la gestion des licences : Donne accès aux analyses précédentes et au contrôle des licences via un tableau de bord.

Comment utiliser CDK Insights

1. Installer le CLI : Utilisez npm install -g cdk-insights.
2. Lancer un scan : Dans votre projet, exécutez cdk-insights scan pour analyser vos stacks AWS CDK.
3. Examiner les résultats localement : Consultez les détections rapportées par le scan, incluant les problèmes de sécurité/conformité et d’optimisation des coûts.
4. Choisir un format de sortie : Exportez les détections en JSON, Markdown, table, summary ou SARIF selon que vous revoyez manuellement ou intégrez à un CI/GitHub.
5. Utiliser le tableau de bord si nécessaire : Accédez à l’historique d’analyse et gérez les licences via le tableau de bord web.

Cas d’usage

• Revue de sécurité pré-déploiement pour les changements CDK : Lancez des scans sur le code CDK avant fusion ou déploiement pour identifier les problèmes critiques comme l’accès public S3 et les politiques IAM trop permissives.
• Renforcement d’infrastructure orienté conformité : Utilisez les détections basées sur règles pour repérer le chiffrement manquant sur les ressources (bases de données, files d’attente, stockage) et les corriger avant audit.
• Vérifications de préparation opérationnelle pour les lacunes de monitoring : Identifiez les configurations de monitoring/logging manquantes qui rendent les incidents en production plus difficiles à détecter (ex. : absence d’alarmes ou de trails).
• Ajustement des coûts pour performance et stockage : Détectez des signaux comme une allocation mémoire Lambda élevée et des politiques de cycle de vie S3 manquantes, puis appliquez les ajustements suggérés.
• Intégrer les résultats dans les workflows développeurs : Exportez en SARIF pour GitHub Code Scanning ou utilisez les sorties JSON/Markdown/table pour les rapports et revues CI/CD.

FAQ

• Mon code source CDK quitte-t-il ma machine ? Le site indique que « le code ne quitte jamais votre machine ».

• Quelles méthodes d’analyse utilise CDK Insights ? Il combine l’analyse statique (vérifications basées sur règles) avec l’analyse alimentée par l’IA qui fournit des recommandations contextuelles.

• Combien de règles et de services AWS sont couverts ? La page produit mentionne plus de 100 règles et une couverture sur plus de 35 services AWS (et une description de scan exemple référence 34 services dans un flux d’exemple).

• Quels formats de sortie sont disponibles ? La page liste JSON, Markdown, Table, Summary, et SARIF.

• Comment démarrer sans complexité de configuration ? Le flux « Zero to Insights » décrit sur la page met l’accent sur une exécution de commande pour le scan (aucune inscription mentionnée pour l’analyse statique).

Alternatives

• Linters de sécurité statiques pour l’infrastructure-as-code (IaC) : Outils axés principalement sur des vérifications basées sur des règles pour les patterns CDK/CloudFormation/Terraform couvrent des mauvaises configurations « évidentes » similaires, bien qu’ils n’incluent pas de recommandations basées sur l’IA et contextuelles.
• Scanners policy-as-code pour configurations cloud : Alternatives imposant la sécurité/conformité via des définitions de politiques offrent des workflows de gouvernance, généralement centrés sur l’évaluation de politiques plutôt que sur l’interprétation IA spécifique à CDK.
• Gestion de la posture de sécurité native cloud (CSPM) : Les produits CSPM évaluent les ressources déployées pour détecter des problèmes de sécurité/conformité. Par rapport à CDK Insights, ils opèrent souvent sur l’infrastructure en exécution plutôt que sur l’analyse du code source avant déploiement.
• Scan de code CI/CD général (style SAST) pour infrastructure : Plateformes ingérant des artefacts de scan (ex. SARIF) centralisent les résultats dans les pull requests. Elles peuvent différer en couverture si elles ne sont pas adaptées aux constructs AWS CDK et au contexte de remédiation.