CDK Insights

CDK Insights 是什麼？

CDK Insights 是一款 AI 驅動的 AWS CDK 專案分析工具。它掃描您的基礎設施原始碼，找出資安漏洞、合規問題與成本浪費，並基於規則式靜態分析與 AI 輔助解讀提供發現結果。

產品的核心目的是幫助團隊在程式碼進入生產部署前，捕捉錯誤設定與高風險模式。它支援直接從本機環境掃描（「程式碼永不離開您的機器」），並可輸出多種格式以適應不同工作流程。

主要功能

• 涵蓋 35+ AWS 服務的 100+ 規則靜態分析：使用對應 CDK 原始碼的規則檢查，偵測資安、合規與最佳實務問題。
• 使用 AWS Bedrock 的 AI 深度分析：提供靜態規則無法涵蓋的脈絡感知建議與程式碼導向推薦。
• 資安與合規涵蓋範圍，含發現範例：標記如公開 S3 儲存桶、萬用 IAM 政策，以及資源缺少加密等問題。
• 成本最佳化檢查：識別潛在支出降低機會（例如 Lambda 記憶體大小提示、缺少 S3 生命週期政策、停用智慧分層）。
• 適用不同工具的多種輸出格式：匯出為 JSON、Markdown、Table、Summary 與 SARIF（包含支援 GitHub Code Scanning 工作流程）。
• 終端機優先工作流程，提供快速回饋：作為命令列工具執行快速掃描，並在本機環境回報結果。
• 網頁儀表板，用於分析歷史與授權管理：透過儀表板存取先前分析與授權控制。

如何使用 CDK Insights

1. 安裝 CLI：執行 npm install -g cdk-insights。
2. 執行掃描：在專案中執行 cdk-insights scan，分析您的 AWS CDK 堆疊。
3. 本機檢視結果：檢查掃描回報的發現，包括資安/合規與成本最佳化問題。
4. 選擇輸出格式：依手動審查或整合 CI/GitHub，匯出為 JSON、Markdown、表格、摘要或 SARIF。
5. 如需使用儀表板：透過網頁儀表板存取分析歷史與管理授權。

使用情境

• CDK 變更的部署前資安審查：在合併或部署前執行掃描，識別如公開 S3 存取與過度寬鬆 IAM 政策等關鍵問題。
• 合規導向的基礎設施強化：使用規則式發現偵測資源（資料庫、佇列與儲存）缺少加密，並在稽核前處理。
• 營運準備檢查，針對監控缺口：識別缺少監控/記錄設定，這些會使生產事件更難偵測（例如缺少警報或追蹤）。
• 效能與儲存成本調整：偵測如高 Lambda 記憶體配置與缺少 S3 生命週期政策等訊號，套用建議調整。
• 整合至開發工作流程：匯出為 SARIF 用於 GitHub Code Scanning，或使用 JSON/Markdown/表格輸出於 CI/CD 回報與審查。

常見問題

• 我的 CDK 原始碼會離開我的機器嗎？ 網站指出產品「程式碼永不離開您的機器」。

• CDK Insights 使用哪些分析方法？ 它結合 靜態分析（規則式檢查）與 AI 驅動分析，提供脈絡感知推薦。

• 涵蓋多少規則與 AWS 服務？ 產品頁面提及 100+ 規則 與 35+ AWS 服務 的涵蓋（範例掃描描述提及樣本流程中的 34 個服務）。

• 有哪些輸出格式？ 頁面列出 JSON、Markdown、Table、Summary 與 SARIF。

• 如何無需複雜設定即開始使用？ 頁面描述的「Zero to Insights」流程強調單一命令執行掃描（靜態分析無需註冊）。

替代方案

• IaC 靜態安全檢查工具：專注於 CDK/CloudFormation/Terraform 模式的基於規則檢查的工具，能涵蓋類似的「明顯」錯誤設定，但可能不包含基於 AI 的情境感知建議。
• 雲端配置的策略即程式碼掃描器：透過策略定義強制執行資安/合規的替代方案，能提供治理工作流程，通常以策略評估為中心，而非 CDK 專屬的 AI 解讀。
• 雲端原生安全態勢管理 (CSPM)：CSPM 產品評估已部署資源以找出資安/合規問題。相較 CDK Insights，它們通常針對執行中基礎設施運作，而非部署前掃描原始碼。
• 基礎設施通用 CI/CD 程式碼掃描 (SAST 風格)：可攝取掃描產出物 (例如 SARIF) 的平台，能在拉取請求中集中呈現發現。若未針對 AWS CDK 建構與修復情境客製化，則涵蓋範圍可能不同。