新安全团队成员：AWS Security Agent

Source: Dev.to

引言：不可赢得的赛跑

现代软件开发是一场与时间赛跑的竞争，但这场比赛注定让安全团队处于下风。根据最近的 Checkmarx 报告，81 % 的组织明知会部署存在漏洞的代码，只是为了赶交付期限。这种情况的出现是因为开发与安全的时间线完全不同。虽然超过 60 % 的组织每周更新一次应用程序，但有 75 % 的组织仅每月进行一次安全测试——甚至更少。这导致创新与验证之间出现了危险且日益扩大的鸿沟。

为打破这一循环，AWS 推出了 Security Agent，一款 AI 驱动的“前沿代理”，从根本上改变了开发与安全的关系。它将安全从被动、周期性的瓶颈转变为主动、持续的实践，融入生命周期的每个阶段。本文将探讨关于这款新工具改变游戏规则的五个最令人惊讶且影响深远的要点。

1. 它将安全从稀缺的奢侈品转变为丰富的公共设施

数十年来，主动安全一直被视为奢侈品。在最近的 AWS re:Invent 演讲中，AWS 的 Neha Rungta 将其比作“烛光时代”，那时光线昂贵、珍贵，只在最关键的时刻才被谨慎分配。同样，深入的安全审查和渗透测试也是缓慢且成本高昂的过程，仅限于最关键的应用。

大型语言模型的出现改变了一切， ushering in the “electric age” of security。在生成式 AI 的驱动下，AWS Security Agent 将主动安全转变为一种丰富的公共设施——充足、廉价，并可随时按需为任何应用提供。这就是为新纪元供电的电力。

“今天，我们将看到一个充裕的、主动的安全世界会是什么样子，以及当主动安全像拉斯维加斯的灯光一样普及时，我们能做些什么。”

2. 它审查你的想法，而不仅仅是代码

AWS Security Agent 最让人意想不到的能力之一是它能够在 在代码行出现之前很久 分析安全风险。这在烛光时代是难以想象的，当时安全分析是一项繁重的手工过程，只针对已完成的工件（如代码），而不是稍纵即逝的想法。

在 re:Invent 的演示中，团队提出了一个严肃的问题：为什么要等到设计文档？ 他们演示了对一个简单的、只有一段文字的功能请求进行安全审查。即使是这份微小的文档，代理也识别出一个关键违规，标记出设计缺少 “block public access” 功能——这是 AWS 新资源‑基策略的核心要求。此发现节省了数周的设计和开发工作，避免了后期需要的大规模、昂贵的返工。

在一次更为非常规的测试中，团队引用了内部内部自测（dog‑fooding）练习中的真实故事，对一场长达一个半小时的会议记录进行安全审查。代理分析了对话，发现了围绕 “secrets protection” 的不合规做法，特别是直接使用敏感凭证而未采取适当的防护措施。将安全分析应用于概念、对话和意图，代表了终极的 “左移”——这只有在安全的电气时代才可能实现。

Source: …

3. 渗透测试现在可以在数小时内完成，而不是数周

传统的渗透测试是一种典型的“烛光时代”模型：在开发周期的后期安排困难重重，需要数周甚至数月才能与第三方团队协调，往往导致开发停滞。

AWS Security Agent 将其转变为按需能力，显著缩短获取关键反馈的时间。客户评价突显了这种加速效果：

• SmugMug：渗透测试评估现在可以在“数小时而非数天内完成，费用仅为手动测试的一小部分”。
• HENNGE K.K.：将典型的测试时长缩短了“超过 90 %”。
• Wayspring：该代理能够在“仅数小时内提供可操作的发现”，而传统的第三方渗透测试则需要数周。

输出的内容不仅仅是一份问题清单。代理会提供其自身思考过程的透明日志——“该代理是如何进行思考的”。这使安全团队能够理解为何会出现漏洞，而不仅是是什么。详细的分解包括可复现的攻击路径和全面的影响分析，是新模型最强大的特性之一。

4. 它生成代码修复并发现你未曾留意的漏洞

发现漏洞只是战斗的一半。代理的工作随后进入 自动化修复 阶段。这不仅仅是一个简单脚本。所谓的 “修复代理” 是一个复杂工作流的最终环节，该工作流首先规划攻击路径并验证发现，确保生成的修复方案相关且准确。随后，它可以直接在已连接的 GitHub 仓库中打开一个 pull request，提供可直接实施的代码，从而大幅缩短修复所需的时间和精力。

更令人惊讶的是，代理的 上下文感知分析 能够揭示超出典型安全漏洞的问题。由于它理解应用的设计和意图，能够捕捉到其他工具可能遗漏的差异。

“上下文感知的代理式 AI 方法提供了不同于传统手段的洞见，同时还能呈现超越纯安全发现的有价值的应用改进。” — HENNGE K.K.

当 SmugMug 在其应用上使用该代理时，这一能力得到了凸显。他们对代理在生产代码中发现了一个 业务逻辑缺陷 感到“非常兴奋”——这是一种应用…

5. 您可以扩展公司独特的安全 DNA

该代理并不限于通用的行业最佳实践。它的真正力量在于能够理解并强制执行组织自身的定制安全需求。这使得公司能够将其独特的安全理念——即其“DNA”——在所有开发团队中进行编码和规模化。

• 自定义规则 – 例如，组织可以创建一条规则，声明*“必须使用后量子密码学”。* 一旦定义，代理会自动检查每个设计文档和拉取请求的合规性。
• AWS 示例 – AWS 在内部使用此功能，确保其团队遵循特定的工程标准。re:Invent 演讲中强调了 “Daffodil Library”，这是一个用于 IAM 集成的内部验证库。通过将其使用编码为要求，AWS 实现了自动化检查，提升了安全性，同时加快了开发者的工作速度。

这正是代理将善意的指南转化为组织意图，并在全公司范围内统一强制和自动化的方式——有效地将公司的安全 DNA 编码进每个项目。

AWS Security Agent 标志着从缓慢、配额化的安全模型向丰富、按需且深度融入整个开发生命周期的模型的根本转变。这一转变使团队能够不仅在代码中发现并修复问题，还能在其前置的概念阶段进行检测，同时获得自动化的解决方案帮助。

入门与集成

1. 创建 Agent Space

   • 前往 AWS Management Console。
   • 设置 “Agent Space”， 一个用于保护特定应用或项目的专用工作空间。

2. 简化集成

   • 验证目标域名，以授权渗透测试。
   • 连接 GitHub 仓库，以启用自动代码分析。
   • 定义集中式安全需求，Agent 将在所有评估中自动强制执行。

3. 引入开发团队

   • 通过 AWS IAM Identity Center (SSO) 配置访问。
   • 用户可以登录 Security Agent Web Application 来：
     • 上传设计文档。
     • 触发按需渗透测试。
     • 获取自动化修复指导——无需复杂的基础设施配置。

使用 AWS Security Agent，享受安全的开发之旅。