AWS Security Agent ganha varredura completa de repositório de código em prévia

Análise de segurança que raciocina como um pesquisador humano

A AWS anunciou a disponibilidade em prévia de uma nova capacidade do AWS Security Agent: a revisão completa de repositório de código. A funcionalidade realiza uma análise de segurança profunda e contextual de toda a base de código de uma aplicação, indo muito além do que as ferramentas tradicionais de Teste Estático de Segurança de Aplicação (SAST) conseguem fazer.

O diferencial central está na abordagem: em vez de simplesmente comparar trechos de código contra uma lista de padrões conhecidos de vulnerabilidade, o sistema constrói um modelo de segurança da aplicação inteira — mapeando pontos de entrada, fronteiras de confiança, fluxos de dados e lógica de autorização — e raciocina sobre o comportamento real do sistema, da mesma forma que um pesquisador de segurança experiente faria, mas operando na velocidade de uma máquina.

O problema que a ferramenta resolve

Times de desenvolvimento enfrentam uma tensão constante: as ferramentas SAST tradicionais são rápidas e confiáveis para capturar padrões conhecidos — como uma injeção de SQL, uma saída sem escape ou uma credencial codificada diretamente no código. Mas aplicações modernas são sistemas complexos, compostos por serviços, APIs, fronteiras de confiança e lógica de autorização distribuída.

As vulnerabilidades mais perigosas raramente são violações de uma única linha. Elas costumam ser lacunas sistêmicas: uma função de validação que cobre quatro de cinco casos, um endpoint que não tem a anotação de autorização que todos os seus vizinhos têm, ou uma codificação aplicada em um contexto mas esquecida em outro. Revisões manuais de segurança conseguem encontrar esses problemas, mas são caras, lentas e não acompanham o ritmo do desenvolvimento moderno.

A revisão completa de repositório foi construída exatamente para fechar essa lacuna — funcionando como um pesquisador de segurança automatizado que lê e raciocina sobre todo o repositório, e não apenas sobre linhas ou arquivos isolados.

Como funciona: quatro etapas de análise

A funcionalidade opera em quatro estágios que espelham a forma como um engenheiro de segurança experiente conduz uma avaliação.

1. Criação do perfil da aplicação

O scanner começa lendo o repositório completo e construindo um modelo de segurança da aplicação. Esse modelo inclui pontos de entrada, fronteiras de confiança, fluxos de dados, invariantes de autorização e as defesas já existentes. Todos os arquivos-fonte são considerados, tornando as decisões de cobertura explícitas em vez de implícitas. O resultado é uma compreensão estruturada do que a aplicação faz e onde está sua superfície de ataque.

2. Busca por vulnerabilidades

Um orquestrador lê o perfil de segurança, raciocina sobre a superfície de ataque e despacha agentes especializados para os componentes de maior risco. Cada agente recebe uma missão com escopo definido — módulos específicos, contexto de ameaça e perguntas adversariais. Os agentes têm liberdade para seguir importações e chamadores além do escopo inicial quando uma pista os leva nessa direção.

3. Triagem e deduplicação

Os candidatos a vulnerabilidade são deduplicados (mesmo ponto de injeção, mesma causa raiz) e o ruído de baixa confiança é filtrado antes da fase de validação.

4. Validação independente

Para cada candidato, um validador independente relê o código-fonte e traça a cadeia de ataque completa. O validador argumenta nos dois sentidos: busca razões pelas quais o achado pode não ser uma vulnerabilidade (controles compensatórios, design intencional) e razões pelas quais é uma (caminhos alternativos de ataque, casos extremos). Um achado só é descartado quando as evidências contra ele são tão sólidas quanto as que o promoveram.

Esse processo gera achados com seções estruturadas de Verificado e Não foi possível verificar, para que o time saiba exatamente o que o scanner confirmou no código e o que depende do ambiente de implantação.

O que torna essa abordagem diferente

A revisão completa de repositório se diferencia da análise estática tradicional em dois aspectos fundamentais: ela raciocina sobre o comportamento real da aplicação em vez de comparar padrões conhecidos, e apresenta os achados com evidências estruturadas que tornam a incerteza explícita — não escondida.

Raciocínio contextual, não correspondência de padrões

Como o scanner constrói um modelo de segurança antes de buscar vulnerabilidades, ele raciocina sobre o comportamento real da aplicação. Um exemplo concreto citado pela AWS ilustra bem isso: havia uma vulnerabilidade de injeção de SQL em uma stored procedure. Uma ferramenta SAST tradicional sinalizaria a chamada específica de EXECUTE IMMEDIATE. O scanner foi mais fundo — identificou que a função central de validação não bloqueia aspas simples em nenhum dos cinco perfis de regex, listou todos os cinco perfis pelo nome, explicou por que aspas simples importam para o banco de dados específico, e apontou que outra stored procedure ignora completamente a função de validação. Em vez de uma correção pontual em um único local, o achado levou a uma remediação abrangente da lacuna sistêmica.

Em outro caso, o scanner encontrou uma vulnerabilidade de XSS (Cross-Site Scripting) onde um valor era adicionado a um campo sem codificação HTML. O mesmo valor era corretamente codificado com Encode.forHtml() em um contexto diferente dentro do mesmo arquivo. Ferramentas de correspondência de padrões não percebem isso porque a função de codificação está presente — mas a vulnerabilidade é a inconsistência, e detectá-la exige compreender o comportamento da aplicação em diferentes caminhos de código.

Achados validados com incerteza transparente

Cada achado é estruturado para facilitar a triagem pelo time de desenvolvimento:

Problema: O que o código faz de errado, com referências específicas de arquivo e linha.
Impacto: O que um atacante ganha, com detalhes sobre o contexto de implantação.
Verificado e não foi possível verificar: O que o scanner confirmou diretamente no código versus o que depende do ambiente (segmentação de rede, comportamento em tempo de execução).
Remediação: Sugestões concretas de correção com mudanças específicas de código, não orientações genéricas.
Severidade e confiança: Calibrados de forma independente. A severidade reflete o impacto se a vulnerabilidade for explorável; a confiança reflete quanto da cadeia de ataque foi verificada no código.

Como se encaixa no fluxo de trabalho de segurança

A revisão completa de repositório foi projetada para complementar — não substituir — as ferramentas de segurança já existentes. A AWS sugere três cenários de uso principais:

Antes de revisões de segurança: Executar a análise antes de agendar um teste de penetração ou revisão de segurança. Isso faz com que os problemas óbvios e semi-óbvios já sejam resolvidos, liberando o time de segurança para focar nas questões sutis de design que exigem julgamento humano.
Ao integrar código adquirido ou open source: A funcionalidade é especialmente valiosa quando o time herda código por meio de aquisições, dependências de fornecedores ou componentes open source. O scanner constrói um modelo de segurança do zero, sem precisar de conhecimento institucional da base de código.
Durante revisões de arquitetura: Como o scanner raciocina sobre fronteiras de confiança, fluxos de dados e invariantes de autorização, seus achados frequentemente revelam problemas arquiteturais — não apenas bugs de implementação. Revisar os resultados junto com os modelos de ameaça ajuda a validar suposições sobre como os componentes interagem.

Para quem quiser começar, a AWS disponibilizou um guia de início rápido para configurar e executar a revisão completa de repositório com o AWS Security Agent.

Disponibilidade e preço

A revisão completa de repositório está disponível hoje em prévia, sem custo adicional para clientes do AWS Security Agent. Durante o período de prévia, a AWS está priorizando o acesso antecipado gratuito para que os times possam fortalecer suas bases de código e compartilhar aprendizados que beneficiem toda a indústria.

Para habilitar a funcionalidade e executar a primeira varredura, acesse o console do AWS Security Agent. Mais detalhes técnicos estão disponíveis na documentação oficial do AWS Security Agent.

Fonte

AWS Security Agent full repository code scanning feature now available in preview (https://aws.amazon.com/blogs/security/aws-security-agent-full-repository-code-scanning-feature-now-available-in-preview/)

AWS Security Agent ganha varredura completa de repositório de código em prévia

Análise de segurança que raciocina como um pesquisador humano

O problema que a ferramenta resolve

Como funciona: quatro etapas de análise

1. Criação do perfil da aplicação

2. Busca por vulnerabilidades

3. Triagem e deduplicação

4. Validação independente

O que torna essa abordagem diferente

Raciocínio contextual, não correspondência de padrões

Achados validados com incerteza transparente

Como se encaixa no fluxo de trabalho de segurança

Disponibilidade e preço

Fonte

Comments

Leave a Reply Cancel reply

More posts

Construído de dentro para fora: como o AWS Professional Services virou uma equipe de fronteira em IA

De PDFs a insights: como a AWS está arquitetando pipelines inteligentes de processamento de documentos com IA generativa

SageMaker AI agora suporta fine-tuning serverless para modelos NVIDIA Nemotron

Amazon EC2 Capacity Blocks para ML agora disponível nas regiões AWS GovCloud (US)