CDK Insights

Cos'è CDK Insights?

CDK Insights è uno strumento di analisi potenziato dall'AI per progetti AWS CDK. Scansiona il tuo codice sorgente dell'infrastruttura per rilevare lacune di sicurezza, problemi di compliance e sprechi di costi, fornendo risultati basati sia su analisi statica basata su regole sia su interpretazione assistita dall'AI.

Lo scopo principale del prodotto è aiutare i team a intercettare malfunzionamenti e pattern rischiosi prima che raggiungano i deployment in produzione. Supporta la scansione direttamente dal tuo ambiente locale (“il codice non lascia mai la tua macchina”) e può emettere risultati in più formati per adattarsi a diversi workflow.

Caratteristiche Principali

• Analisi statica con oltre 100 regole su più di 35 servizi AWS: Rileva problemi di sicurezza, compliance e best practice tramite controlli basati su regole allineati al codice CDK.
• Analisi profonda potenziata dall'AI con AWS Bedrock: Aggiunge raccomandazioni contestualizzate e suggerimenti focalizzati sul codice oltre a quanto catturato dalle regole statiche.
• Copertura di sicurezza e compliance con esempi di risultati: Segnala problemi come bucket S3 pubblici, policy IAM con wildcard e mancanza di crittografia sulle risorse.
• Controlli di ottimizzazione dei costi: Identifica potenziali riduzioni di spesa (es. dimensionamento memoria Lambda, mancanza di policy lifecycle S3, intelligent tiering disabilitato).
• Multipli formati di output per diversi tool: Esporta risultati come JSON, Markdown, Table, Summary e SARIF (incluso supporto per workflow GitHub Code Scanning).
• Workflow terminal-first per feedback rapido: Funziona come tool da linea di comando per scansioni veloci, con risultati riportati nel tuo ambiente locale.
• Dashboard web per storico analisi e gestione licenze: Fornisce accesso ad analisi precedenti e controllo licenze tramite dashboard.

Come Usare CDK Insights

1. Installa la CLI: Usa npm install -g cdk-insights.
2. Esegui una scansione: Nel tuo progetto, esegui cdk-insights scan per analizzare i tuoi stack AWS CDK.
3. Esamina i risultati localmente: Controlla i risultati della scansione, inclusi problemi di sicurezza/compliance e ottimizzazione costi.
4. Scegli un formato di output: Esporta i risultati in JSON, Markdown, table, summary o SARIF a seconda se stai rivedendo manualmente o integrando con CI/GitHub.
5. Usa il dashboard se necessario: Accedi allo storico analisi e gestisci le licenze tramite il dashboard web.

Casi d'Uso

• Revisione sicurezza pre-deployment per cambiamenti CDK: Esegui scansioni sul codice CDK prima di mergiare o deployare per identificare problemi critici come accesso pubblico S3 e policy IAM troppo permissive.
• Rafforzamento infrastruttura orientato alla compliance: Usa i risultati basati su regole per rilevare mancanza di crittografia su risorse (database, code e storage) e risolverli prima degli audit.
• Controlli di prontezza operativa per lacune di monitoraggio: Identifica configurazioni mancanti di monitoraggio/logging che rendono più difficile rilevare incidenti in produzione (es. assenza di allarmi o trail).
• Ottimizzazione costi per performance e storage: Rileva segnali come allocazione memoria Lambda elevata e mancanza di policy lifecycle S3, poi applica gli aggiustamenti suggeriti.
• Integra i risultati nei workflow developer: Esporta come SARIF per GitHub Code Scanning o usa output JSON/Markdown/table per reporting e review CI/CD.

FAQ

• Il mio codice sorgente CDK lascia la mia macchina? Il sito afferma che “il codice non lascia mai la tua macchina”.

• Quali metodi di analisi usa CDK Insights? Combina analisi statica (controlli basati su regole) con analisi potenziata dall'AI che fornisce raccomandazioni contestualizzate.

• Quante regole e servizi AWS sono coperti? La pagina del prodotto menziona oltre 100 regole e copertura su più di 35 servizi AWS (e una descrizione di scansione di esempio fa riferimento a 34 servizi in un flusso campione).

• Quali formati di output sono disponibili? La pagina elenca JSON, Markdown, Table, Summary e SARIF.

• Come iniziare senza complessità di setup? Il flusso “Zero to Insights” descritto sulla pagina enfatizza l'esecuzione di un solo comando per la scansione (nessuna registrazione menzionata per l'analisi statica).

Alternative

• Linter statici di sicurezza per infrastructure-as-code (IaC): Strumenti focalizzati principalmente su controlli basati su regole per pattern CDK/CloudFormation/Terraform possono coprire misconfigurazioni “ovvie” simili, anche se potrebbero non includere raccomandazioni basate su AI e consapevoli del contesto.
• Scanner policy-as-code per configurazioni cloud: Alternative che applicano sicurezza/compliance tramite definizioni di policy possono fornire workflow di governance, tipicamente centrati sulla valutazione delle policy piuttosto che sull’interpretazione AI specifica per CDK.
• Gestione della postura di sicurezza cloud-native (CSPM): I prodotti CSPM valutano risorse deployate per trovare problemi di sicurezza/compliance. Rispetto a CDK Insights, operano spesso su infrastruttura runtime anziché scansionare il codice sorgente prima del deploy.
• Scansione codice generale CI/CD (stile SAST) per infrastruttura: Piattaforme che ingeriscono artefatti di scansione (es. SARIF) possono centralizzare i risultati nelle pull request. Possono differire nella copertura se non sono ottimizzate per costrutti AWS CDK e contesto di remediation.