AWS Security Agent 検証 — 自動コード修正(Code Remediation)の品質評価
ペンテストで検出した7件の脆弱性に対して自動コード修正を実行。全件に GitHub PR が生成され、SQL Injection のパラメータ化クエリからクレデンシャルのハッシュ化まで、そのまま適用可能な修正が得られた。
すべてのブログ記事一覧
ペンテストで検出した7件の脆弱性に対して自動コード修正を実行。全件に GitHub PR が生成され、SQL Injection のパラメータ化クエリからクレデンシャルのハッシュ化まで、そのまま適用可能な修正が得られた。
認証なし・単一ロール(2FA 付き)・複数ロールの3条件でペンテストを実行。認証情報なしでも Agent が SQL Injection 経由でクレデンシャルを取得し TOTP を推測して自力ログインする挙動を確認した。
AWS Security Agent は GraphQL API をテスト可能と公式に記載しているが、実際の検出能力はどうか。4条件で検証した結果、HTML リンク構造の有無が検出の分岐点であり、条件を満たせば Introspection・ネストクエリ・Mutation 分析など GraphQL 固有のテストが実行されることを確認した。
Aurora DSQL の公式 Rust コネクタ(SQLx)を実際に動かし、接続コードの簡素化と OCC リトライの実用性を検証する。デフォルト max_attempts=3 では高並行で不足するケースも確認した。
CloudWatch Query Studio(Preview)と OTel エンリッチメントを有効化し、AWS ベンダーメトリクスを PromQL で照会・アラーム作成するまでを検証。histogram 関数の必要性やタグベース横断クエリなど、Prometheus ユーザー向けの実践データを共有する。
Git Directory Generator でディレクトリ構造から dev/staging/prod の Application を自動生成。環境追加はディレクトリ push だけ、個別環境の変更は他に波及しない。ポーリング間隔が長い点に注意。
Capability Role に IAM ポリシーを1つ追加するだけで CodeCommit プライベートリポジトリからデプロイできる。URL typo と権限不足が同じエラーになる点と、権限修正後のリカバリに手動 refresh が推奨される点が落とし穴。
Strands Agents SDK の result.metrics を深掘りし、サイクル数・トークン量・ツール実行時間を分析する。ツール設計の違いがパフォーマンスに与える影響をメトリクスで比較し、エージェントの最適化ポイントを特定する。
Strands Agents SDK に Bedrock Guardrails を適用し、エージェントの入出力を自動フィルタリングする。ガードレール発動時の挙動と、Hooks を使ったシャドーモード(監視のみ)の実装をコードで確認する。
Strands Agents SDK の Hooks でエージェントループに処理を差し込む。ツール呼び出しのログ記録、回数制限、結果の加工を実際のコードで確認し、エージェントの動作をリアルタイムで制御する方法を学ぶ。