O AWS Security Agent expande seu papel de segurança proativa com code review em PRs e repositórios completos, modelagem de ameaças pelo framework STRIDE e integração direta com IDEs via Kiro power e MCP. Para empresas brasileiras, isso significa reduzir atrasos por segurança no pipeline, automatizar análises de conformidade (NIST, PCI, AWS WAF) e unificar design, desenvolvimento e deploy em um único agente — desde que estejam prontas para adotar agentes de IA no fluxo de trabalho.
Na re:Invent 2025, a AWS apresentou em preview o AWS Security Agent (agora parte do AWS Continuum), um agente de fronteira que protege proativamente suas aplicações ao longo de todo o ciclo de desenvolvimento, em todos os ambientes. Você pode realizar testes de penetração sob demanda personalizados para sua aplicação, descobrir e relatar riscos de segurança verificados por testes de explorabilidade.
Desde o preview, anunciamos a disponibilidade geral para testes de penetração sob demanda e o preview da revisão de código de repositório completo, que realiza análise de segurança profunda e com contexto de toda a base de código.
Hoje, estamos introduzindo mais recursos com base no feedback dos clientes:
- Atualizações de code review (Preview) — Agora você pode usar varredura de pull requests com remediação, pacotes de requisitos de segurança e validação simulada. Novas integrações suportam GitHub, GitLab, Bitbucket e Confluence.
- Modelagem de ameaças (Preview) — O AWS Security Agent analisa seus documentos de design ou código-fonte da aplicação, compreende o contexto completo da arquitetura e identifica ameaças com mitigações recomendadas usando o framework STRIDE.
- Kiro power, plugin Claude Code e integração MCP — Você pode executar code reviews, gerar modelos de ameaça e remediar descobertas diretamente da sua IDE, CLI ou qualquer IDE com IA por meio de uma integração MCP aberta, com resultados surgindo inline, sem troca de contexto.
Vamos detalhar cada novidade!
Como as atualizações de code review reduzem atrasos no pipeline?
Agora você pode conectar-se ao GitLab e Bitbucket além do GitHub — suportando tanto versões SaaS quanto self-hosted — para acionar varreduras independentemente de onde o código reside. Também é possível integrar o Confluence para referenciar sua documentação existente como contexto para as revisões.
Para começar, escolha Enable code review ou atualize sua configuração no console do Security Agent.
O AWS Security Agent introduz análise profunda baseada em raciocínio em cada pull request e também no repositório completo para identificar vulnerabilidades complexas que vão além da correspondência de padrões. Ele verifica seus requisitos de segurança organizacionais e riscos comuns que outras ferramentas não detectam. Para começar, acesse o web application do Security Agent e execute seu code review.
Você receberá commits de correção e orientações de remediação diretamente no fluxo de trabalho do GitHub, GitLab ou Bitbucket, enquanto suas equipes de segurança configuram os repositórios a serem monitorados e intervêm em problemas críticos. O AWS Security Agent valida descobertas em ambientes simulados para demonstrar prova de explorabilidade. Isso incorpora expertise de segurança em todos os repositórios, reduzindo atrasos relacionados à segurança no pipeline de desenvolvimento.
Para saber mais sobre os novos recursos de code review, visite Create a code review no Guia do Usuário do AWS Security Agent.
Como a modelagem de ameaças se integra ao design review?
Você pode validar continuamente seus requisitos de segurança em cada design e code review com pacotes de conformidade gerenciados: AWS WAF, NIST CSF, PCI DSS e melhores práticas AWS, ou importe seus próprios requisitos organizacionais diretamente de documentos internos ou Confluence. Cada descoberta é mapeada para sua postura de conformidade, mantendo as equipes prontas para auditoria enquanto constroem.
Visite a documentação de design review para mais detalhes.
Modelagem de ameaças: o que muda na prática?
O AWS Security Agent gera modelos de ameaça com base em sua documentação de design ou repositório de código, cria e constrói contexto sobre a aplicação, incluindo fluxos de dados, arquitetura e limites de confiança. Ele mapeia todos os componentes da sua aplicação, identifica potenciais atores de ameaça e vetores de ataque, determina onde podem existir fraquezas e prioriza as ameaças para que você saiba o que abordar primeiro.
Para começar, escolha Enable threat model e Conecte o repositório de código fonte no console do Security Agent.
Para saber mais, visite a documentação de threat modeling.
Kiro power e Claude Code plugin: segurança sem sair da IDE
O AWS Security Agent apresenta um novo Kiro power e plugin Claude Code (em breve) e pode ser integrado a qualquer IDE com IA por meio de uma integração MCP aberta para proteger suas aplicações. Você pode acionar modelos de ameaça e code reviews diretamente da sua IDE, com resultados surgindo inline, sem troca de contexto.
Para começar, instale o Kiro power e execute seus prompts. O Kiro power usa o servidor MCP do AWS Security Agent. Você pode começar perguntando “Set up AWS Security Agent”. O Kiro verificará se você tem um Agent Space e perguntará se deseja usar o existente ou criar um novo.
Com o Kiro power para Security Agent, você pode detectar vulnerabilidades em cada pull request enquanto desenvolve e escanear um repositório inteiro para revelar risco acumulado perguntando “Run a full security scan on this repo”. O power inclui um Agent hook para avaliar se uma varredura de diff de code review deve ser iniciada após o turno do agente Kiro. Antes de implantar em produção, você pode executar um teste de penetração a partir do seu CLI para encontrar o que a maioria dos scanners perde. O Security Agent fecha o loop validando cada descoberta e gerando correções de código prontas para implementar.
Você pode trazer as descobertas de volta ao seu ambiente de desenvolvimento perguntando “help me remediate my findings”. O Kiro power para AWS Security Agent baixará as descobertas para seu workspace local, priorizará a mais crítica e se oferecerá para iniciar uma sessão de bugfix spec. Você pode iterar na correção das descobertas usando sua IDE familiar com suas ferramentas existentes, powers e servidores MCP.
Você também pode executar modelos de ameaça através do Kiro power na IDE perguntando “Build a threat model for this application”. O modelo de ameaça gerado é salvo em .security-agent/threat_model.md.
Para saber mais, visite o Kiro power for Security Agent.
O que já está disponível?
O AWS Security Agent compreende todo o contexto de segurança ao longo do seu ciclo de vida de desenvolvimento de software, cobrindo segurança em tempo de design (design reviews e threat modeling em preview), segurança em tempo de desenvolvimento (code review em preview) e segurança em tempo de deploy (penetration testing em GA), em uma única oferta unificada baseada em agente. Para saber mais, visite a página do produto AWS Security Agent e a documentação técnica.
Essas funcionalidades já estão disponíveis nas regiões comerciais AWS onde o AWS Security Agent está disponível. Para disponibilidade regional e roadmap futuro, visite o AWS Capabilities by Region. Para informações detalhadas de preços e acesso à oferta de trial gratuito de 2 meses, visite a página de preços do AWS Security Agent.
Experimente no console do Security Agent e envie feedback para o AWS re:Post for Security Agent ou através de seus contatos usuais do AWS Support.
Perguntas Frequentes
-
O que é o AWS Security Agent e como ele se diferencia de ferramentas tradicionais de segurança?
O AWS Security Agent é um agente de segurança que cobre todo o ciclo de vida da aplicação: design (modelagem de ameaças), desenvolvimento (code review) e deploy (testes de penetração). Diferente de ferramentas tradicionais que se baseiam apenas em pattern matching, ele usa análise contextual e validação de exploração em ambientes simulados, gerando correções prontas para implementar. -
Quais integrações de repositórios e ferramentas o Security Agent agora suporta?
Além do GitHub, o Security Agent agora suporta GitLab e Bitbucket (tanto SaaS quanto self-hosted) para varredura de pull requests e repositórios completos. Também permite integração com Confluence para usar documentação existente como contexto, e com IDEs via Kiro power (para Kiro) e Claude Code plugin, além de uma interface MCP aberta. -
Como a modelagem de ameaças funciona e qual framework ela utiliza?
A modelagem de ameaças do Security Agent analisa documentos de design ou código-fonte para entender a arquitetura, fluxos de dados, limites de confiança e identifica ameaças usando o framework STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege). O resultado é um modelo de ameaça salvo em .security-agent/threat_model.md com recomendações de mitigação. -
Quais benefícios práticos para times brasileiros que já usam pipelines de CI/CD?
Os times podem automatizar a verificação de segurança em cada pull request sem sair do fluxo de desenvolvimento, reduzindo atrasos por revisões manuais. A validação de conformidade com pacotes como PCI DSS e NIST CSF mantém a equipe pronta para auditorias. A integração com IDEs permite corrigir falhas diretamente no código, com remediação guiada e commits de correção. -
O Security Agent está disponível em todas as regiões AWS? Qual o modelo de precificação?
As funcionalidades estão disponíveis nas regiões comerciais onde o AWS Security Agent já opera. A AWS disponibiliza uma página de precificação e um trial gratuito de 2 meses. Para disponibilidade regional detalhada, consulte o AWS Capabilities by Region. O agente unifica design, desenvolvimento e deploy em uma única oferta, o que pode simplificar custos comparado a ferramentas separadas.
Artigo originalmente publicado por Channy Yun (윤석찬) em AWS News Blog.
