CDK Insights

什么是 CDK Insights？

CDK Insights 是一款用于 AWS CDK 项目的 AI 驱动分析工具。它扫描您的基础设施源代码， выявить 安全漏洞、合规问题和成本浪费，并基于规则静态分析和 AI 辅助解释提供发现结果。

该产品的核心目的是帮助团队在代码到达生产部署前捕获配置错误和风险模式。它支持直接从本地环境扫描（“代码永不离开您的机器”），并可输出多种格式结果以适应不同工作流。

主要功能

• 覆盖 35+ AWS 服务的 100+ 规则静态分析：使用与 CDK 源代码对齐的规则检查检测安全、合规和最佳实践问题。
• 使用 AWS Bedrock 的 AI 深度分析：提供超出静态规则的上下文感知建议和代码焦点推荐。
• 安全与合规覆盖，附带发现示例：标记问题，如公共 S3 存储桶、通配符 IAM 策略和资源缺少加密。
• 成本优化检查：识别潜在支出减少机会（例如 Lambda 内存配置信号、缺少 S3 生命周期策略、禁用智能分层）。
• 多种输出格式适配不同工具：导出结果为 JSON、Markdown、Table、Summary 和 SARIF（包括支持 GitHub Code Scanning 工作流）。
• 终端优先工作流，提供快速反馈：作为命令行工具运行快速扫描，结果报告回本地环境。
• Web 仪表板用于分析历史和许可证管理：通过仪表板访问先前分析和许可证控制。

如何使用 CDK Insights

1. 安装 CLI：使用 npm install -g cdk-insights。
2. 运行扫描：在项目中执行 cdk-insights scan 分析您的 AWS CDK 堆栈。
3. 本地查看结果：检查扫描报告的发现，包括安全/合规和成本优化问题。
4. 选择输出格式：根据手动审查或 CI/GitHub 集成，以 JSON、Markdown、表格、摘要或 SARIF 导出发现。
5. 如需使用仪表板：通过 Web 仪表板访问分析历史和管理许可证。

使用场景

• CDK 变更的部署前安全审查：在合并或部署前运行扫描，识别关键问题，如公共 S3 访问和过于宽松的 IAM 策略。
• 合规导向的基础设施强化：使用规则发现检测资源（数据库、队列和存储）缺少加密，并在审计前修复。
• 运营就绪检查监控缺口：识别缺少监控/日志配置，这些配置会使生产事件更难检测（例如缺少警报或跟踪）。
• 性能和存储成本调优：检测信号如高 Lambda 内存分配和缺少 S3 生命周期策略，然后应用建议调整。
• 集成结果到开发者工作流：导出为 SARIF 用于 GitHub Code Scanning，或使用 JSON/Markdown/表格输出进行 CI/CD 报告和审查。

常见问题

• 我的 CDK 源代码会离开我的机器吗？ 网站声明该产品的“代码永不离开您的机器”。

• CDK Insights 使用哪些分析方法？ 它结合 静态分析（规则检查）与 AI 驱动分析，提供上下文感知推荐。

• 覆盖多少规则和 AWS 服务？ 产品页面提到 100+ 规则 和 35+ AWS 服务 的覆盖（示例扫描描述引用样本流中的 34 个服务）。

• 有哪些输出格式？ 页面列出 JSON、Markdown、Table、Summary 和 SARIF。

• 如何无复杂设置快速上手？ 页面描述的“Zero to Insights”流程强调一键执行扫描（静态分析无注册提及）。

替代方案

• IaC 静态安全扫描器：专注于 CDK/CloudFormation/Terraform 模式的基于规则检查的工具，可以覆盖类似“明显”错误配置，尽管可能不包含基于 AI 的上下文感知建议。
• 云配置策略即代码扫描器：通过策略定义强制执行安全/合规的替代方案，可以提供治理工作流，通常以策略评估为中心，而非 CDK 特定的 AI 解释。
• 云原生安全态势管理 (CSPM)：CSPM 产品评估已部署资源以发现安全/合规问题。与 CDK Insights 相比，它们通常针对运行时基础设施运行，而非部署前扫描源代码。
• 基础设施通用 CI/CD 代码扫描 (SAST 风格)：摄取扫描工件（例如 SARIF）的平台，可以在拉取请求中集中发现结果。如果未针对 AWS CDK 构造和修复上下文定制，其覆盖范围可能不同。