CDK Insights

O que é CDK Insights?

CDK Insights é uma ferramenta de análise alimentada por IA para projetos AWS CDK. Ela examina o código-fonte da sua infraestrutura para identificar lacunas de segurança, problemas de conformidade e desperdício de custos, fornecendo achados baseados em análise estática com regras e interpretação assistida por IA.

O propósito principal do produto é ajudar equipes a detectar configurações incorretas e padrões arriscados antes que cheguem aos deployments de produção. Ele suporta varreduras diretamente do seu ambiente local (“o código nunca sai da sua máquina”) e pode emitir resultados em múltiplos formatos para se adequar a diferentes fluxos de trabalho.

Principais Recursos

• Análise estática com mais de 100 regras em mais de 35 serviços AWS: Detecta problemas de segurança, conformidade e melhores práticas usando verificações baseadas em regras alinhadas ao código-fonte CDK.
• Análise profunda alimentada por IA usando AWS Bedrock: Adiciona recomendações contextuais e sugestões focadas em código além do que as regras estáticas capturam.
• Cobertura de segurança e conformidade com exemplos de achados: Sinaliza problemas como buckets S3 públicos, políticas IAM com wildcards e falta de criptografia em recursos.
• Verificações de otimização de custos: Identifica reduções potenciais de gastos (ex.: dimensionamento de memória Lambda, falta de política de ciclo de vida S3, intelligent tiering desabilitado).
• Múltiplos formatos de saída para diferentes ferramentas: Exporta resultados como JSON, Markdown, Table, Summary e SARIF (incluindo suporte para fluxos de GitHub Code Scanning).
• Fluxo de trabalho focado em terminal para feedback rápido: Executa como ferramenta de linha de comando para varreduras rápidas, com resultados reportados no seu ambiente local.
• Dashboard web para histórico de análises e gerenciamento de licenças: Fornece acesso a análises anteriores e controle de licenças por meio de um dashboard.

Como Usar o CDK Insights

1. Instale o CLI: Use npm install -g cdk-insights.
2. Execute uma varredura: No seu projeto, execute cdk-insights scan para analisar suas stacks AWS CDK.
3. Revise os resultados localmente: Inspecione os achados reportados pela varredura, incluindo problemas de segurança/conformidade e otimização de custos.
4. Escolha um formato de saída: Exporte achados em JSON, Markdown, tabela, resumo ou SARIF dependendo se você está revisando manualmente ou integrando com CI/GitHub.
5. Use o dashboard se necessário: Acesse o histórico de análises e gerencie licenças via dashboard web.

Casos de Uso

• Revisão de segurança pré-deploy para mudanças CDK: Execute varreduras no código CDK antes de mesclar ou deployar para identificar problemas críticos como acesso público a S3 e políticas IAM excessivamente permissivas.
• Reforço de infraestrutura orientado a conformidade: Use achados baseados em regras para detectar falta de criptografia em recursos (bancos de dados, filas e armazenamento) e corrigi-los antes de auditorias.
• Verificações de prontidão operacional para lacunas de monitoramento: Identifique configurações ausentes de monitoramento/log que dificultam a detecção de incidentes em produção (ex.: ausência de alarmes ou trails).
• Ajuste de custos para performance e armazenamento: Detecte sinais como alocação alta de memória Lambda e falta de políticas de ciclo de vida S3, aplicando ajustes sugeridos.
• Integre resultados em fluxos de trabalho de desenvolvedores: Exporte achados como SARIF para GitHub Code Scanning ou use saídas JSON/Markdown/tabela para relatórios e revisão em CI/CD.

FAQ

• Meu código-fonte CDK sai da minha máquina? O site afirma que o “código nunca sai da sua máquina”.

• Quais métodos de análise o CDK Insights usa? Ele combina análise estática (verificações baseadas em regras) com análise alimentada por IA que fornece recomendações contextuais.

• Quantas regras e serviços AWS são cobertos? A página do produto menciona mais de 100 regras e cobertura em mais de 35 serviços AWS (e uma descrição de varredura de exemplo refere 34 serviços em um fluxo de amostra).

• Quais formatos de saída estão disponíveis? A página lista JSON, Markdown, Table, Summary e SARIF.

• Como começar sem complexidade de setup? O fluxo “Zero to Insights” descrito na página enfatiza a execução de um comando para varredura (sem menção a signup para análise estática).

Alternativas

• Linters estáticos de segurança para infrastructure-as-code (IaC): Ferramentas que focam principalmente em verificações baseadas em regras para padrões CDK/CloudFormation/Terraform podem cobrir misconfigurações “óbvias” semelhantes, embora não incluam recomendações baseadas em IA e contextuais.
• Scanners de policy-as-code para configurações em nuvem: Alternativas que aplicam segurança/conformidade via definições de políticas podem fornecer fluxos de governança, tipicamente centrados em avaliação de políticas em vez de interpretação específica de IA para CDK.
• Gerenciamento de postura de segurança nativa da nuvem (CSPM): Produtos CSPM avaliam recursos implantados para encontrar problemas de segurança/conformidade. Comparados ao CDK Insights, eles operam geralmente em infraestrutura em execução em vez de escanear código-fonte antes do deploy.
• Escaneamento geral de código CI/CD (estilo SAST) para infraestrutura: Plataformas que ingerem artefatos de escaneamento (ex.: SARIF) podem centralizar achados em pull requests. Elas podem diferir na cobertura se não forem adaptadas a constructs do AWS CDK e contexto de remediação.