CDK Insights

Что такое CDK Insights?

CDK Insights — это инструмент анализа на базе ИИ для проектов AWS CDK. Он сканирует исходный код вашей инфраструктуры, выявляя пробелы в безопасности, проблемы комплаенса и неэффективные затраты, и предоставляет результаты на основе правил статического анализа и интерпретации с помощью ИИ.

Основная цель продукта — помочь командам выявлять неправильные конфигурации и рискованные паттерны до попадания в продакшн. Поддерживает сканирование прямо из локальной среды («код никогда не покидает вашу машину») и вывод результатов в нескольких форматах для разных рабочих процессов.

Ключевые возможности

• Статический анализ с 100+ правилами по 35+ сервисам AWS: Выявляет проблемы безопасности, комплаенса и лучших практик с помощью проверок на основе правил, ориентированных на исходный код CDK.
• Глубокий анализ на базе ИИ с AWS Bedrock: Добавляет контекстные рекомендации и предложения по коду, выходящие за рамки статических правил.
• Покрытие безопасности и комплаенса с примерами находок: Отмечает проблемы, такие как публичные S3-бакеты, wildcard-политики IAM и отсутствие шифрования на ресурсах.
• Проверки оптимизации затрат: Выявляет возможности снижения расходов (например, сигналы по размеру памяти Lambda, отсутствие политики жизненного цикла S3, отключенный intelligent tiering).
• Несколько форматов вывода для разных инструментов: Экспортирует результаты как JSON, Markdown, Table, Summary и SARIF (включая поддержку GitHub Code Scanning workflows).
• Рабочий процесс в терминале для быстрой обратной связи: Запускается как CLI-инструмент для быстрых сканирований с выводом результатов в локальной среде.
• Веб-дашборд для истории анализа и управления лицензиями: Обеспечивает доступ к предыдущим анализам и контролю лицензий через дашборд.

Как использовать CDK Insights

1. Установите CLI: Выполните npm install -g cdk-insights.
2. Запустите сканирование: В проекте выполните cdk-insights scan для анализа стеков AWS CDK.
3. Просмотрите результаты локально: Изучите находки сканирования, включая проблемы безопасности/комплаенса и оптимизации затрат.
4. Выберите формат вывода: Экспортируйте находки в JSON, Markdown, таблицу, summary или SARIF в зависимости от ручного просмотра или интеграции с CI/GitHub.
5. Используйте дашборд при необходимости: Получите доступ к истории анализа и управляйте лицензиями через веб-дашборд.

Сценарии использования

• Преддеплойный обзор безопасности для изменений CDK: Запускайте сканирования на коде CDK перед мерджем или деплоем, чтобы выявить критические проблемы, такие как публичный доступ к S3 и избыточно permissive политики IAM.
• Укрепление инфраструктуры с фокусом на комплаенс: Используйте находки на основе правил для выявления отсутствующего шифрования на ресурсах (БД, очереди, хранилища) и устранения до аудита.
• Проверки готовности к эксплуатации на наличие пробелов в мониторинге: Выявляйте отсутствующие конфигурации мониторинга/логирования, усложняющие обнаружение инцидентов в продакшене (например, отсутствие алермов или trails).
• Настройка затрат для производительности и хранения: Выявляйте сигналы, такие как высокое выделение памяти Lambda и отсутствие политик жизненного цикла S3, затем применяйте предложенные корректировки.
• Интеграция результатов в рабочие процессы разработчиков: Экспортируйте находки как SARIF для GitHub Code Scanning или используйте JSON/Markdown/таблицы для отчетов и ревью в CI/CD.

FAQ

• Уходит ли исходный код CDK с моей машины?
  На сайте указано, что «код никогда не покидает вашу машину».

• Какие методы анализа использует CDK Insights?
  Комбинирует статический анализ (проверки на основе правил) с анализом на базе ИИ, предоставляющим контекстные рекомендации.

• Сколько правил и сервисов AWS покрыто?
  На странице продукта указано 100+ правил и покрытие 35+ сервисов AWS (пример сканирования упоминает 34 сервиса в сэмпле).

• Какие форматы вывода доступны?
  Страница перечисляет JSON, Markdown, Table, Summary и SARIF.

• Как начать без сложной настройки?
  Описанный на странице поток «Zero to Insights» подчеркивает выполнение одной команды для сканирования (без упоминания регистрации для статического анализа).

Альтернативы

• Статические линтеры безопасности для инфраструктуры как кода (IaC): Инструменты, сосредоточенные в основном на проверках по правилам для шаблонов CDK/CloudFormation/Terraform, могут выявлять похожие «очевидные» неправильные конфигурации, хотя и без AI-анализа с учетом контекста.
• Сканеры policy-as-code для облачных конфигураций: Альтернативы, обеспечивающие безопасность/комплаенс через определения политик, предоставляют рабочие процессы управления, обычно ориентированные на оценку политик, а не на AI-интерпретацию специфичную для CDK.
• Управление безопасностью облачной инфраструктуры (CSPM): Продукты CSPM оценивают развернутые ресурсы для поиска проблем безопасности/комплаенс. В отличие от CDK Insights, они работают с инфраструктурой в runtime, а не сканируют исходный код до деплоя.
• Общее сканирование кода в CI/CD (в стиле SAST) для инфраструктуры: Платформы, принимающие артефакты сканирования (например, SARIF), могут централизовать находки в pull request. Они могут отличаться по охвату, если не адаптированы под конструкции AWS CDK и контекст исправлений.