
AWS Security Agent nâng cấp mạnh mẽ: Tích hợp Threat Modeling, Kiro và Plugin Claude Code
AWS Security Agent vừa bổ sung loạt tính năng bảo mật quan trọng bao gồm mô hình hóa mối đe dọa (Threat Modeling), tích hợp Kiro power, plugin Claude Code và hỗ trợ mở rộng cho GitLab, Bitbucket. Đây là bước tiến lớn trong việc tự động hóa bảo mật toàn diện từ thiết kế đến triển khai cho các nhà phát triển.
Tổng quan về các cập nhật mới của AWS Security Agent
Tại sự kiện re:Invent 2025, AWS đã giới thiệu AWS Security Agent (hiện là một phần của AWS Continuum), một tác nhân bảo mật tiên phong giúp bảo vệ ứng dụng một cách chủ động trong suốt vòng đời phát triển phần mềm (SDLC) trên mọi môi trường. Người dùng có thể thực hiện kiểm thử xâm nhập (penetration testing) theo yêu cầu, được tùy chỉnh cho ứng dụng của mình để phát hiện và báo cáo các rủi ro bảo mật thông qua kiểm thử khả năng khai thác.
Sau giai đoạn preview, AWS đã công bố tính sẵn sàng chung (GA) cho tính năng kiểm thử xâm nhập theo yêu cầu và bản preview của tính năng đánh giá mã nguồn toàn bộ kho lưu trữ (full repository code review), thực hiện phân tích bảo mật sâu, có nhận thức về ngữ cảnh.
Hôm nay, AWS tiếp tục giới thiệu thêm các tính năng mới dựa trên phản hồi của khách hàng:
1. Cập nhật tính năng Đánh giá mã nguồn (Preview)
Giờ đây, bạn có thể sử dụng tính năng quét yêu cầu kéo (pull request scanning) kèm theo hướng dẫn khắc phục, các gói yêu cầu bảo mật và mô phỏng xác thực. Các tích hợp mới hỗ trợ GitHub, GitLab, Bitbucket và Confluence.
- Tích hợp đa nền tảng: Bạn có thể kết nối với GitLab và Bitbucket bên cạnh GitHub, hỗ trợ cả phiên bản SaaS và tự lưu trữ (self-hosted), cho phép kích hoạt quét bất kể mã nguồn của bạn nằm ở đâu.
- Tích hợp Confluence: Cho phép tham chiếu tài liệu hiện có của bạn làm ngữ cảnh cho các đánh giá bảo mật.
- Phân tích sâu: AWS Security Agent thực hiện phân tích dựa trên suy luận (reasoning-based) trên mỗi pull request cũng như toàn bộ kho lưu trữ để xác định các lỗ hổng phức tạp vượt xa khả năng của các công cụ khớp mẫu (pattern-matching) thông thường.
Cách bắt đầu: Chọn "Enable code review" hoặc cập nhật cài đặt đánh giá mã nguồn trong bảng điều khiển Security Agent.
2. Mô hình hóa mối đe dọa (Threat Modeling - Preview)
AWS Security Agent giờ đây có thể tạo các mô hình mối đe dọa dựa trên tài liệu thiết kế hoặc kho lưu trữ mã nguồn của bạn. Nó xây dựng ngữ cảnh về kiến trúc ứng dụng, bao gồm luồng dữ liệu, kiến trúc hệ thống và các ranh giới tin cậy (trust boundaries).
- Phát hiện và ưu tiên: Hệ thống xác định các tác nhân đe dọa tiềm ẩn, các vectơ tấn công, xác định điểm yếu và ưu tiên các mối đe dọa để bạn biết cần giải quyết vấn đề nào trước tiên.
- Khung STRIDE: Sử dụng khung STRIDE để xác định mối đe dọa với các đề xuất giảm thiểu rủi ro.
Cách bắt đầu: Chọn "Enable threat model" và kết nối kho lưu trữ mã nguồn trong bảng điều khiển Security Agent.
3. Kiro power, Plugin Claude Code và tích hợp MCP
Đây là bước tiến lớn trong việc đưa bảo mật vào môi trường làm việc của lập trình viên mà không cần chuyển đổi ngữ cảnh (context switching).
- Tích hợp IDE/CLI: Bạn có thể kích hoạt mô hình mối đe dọa và đánh giá mã nguồn trực tiếp từ IDE, CLI hoặc bất kỳ IDE hỗ trợ AI nào thông qua tích hợp MCP (Model Context Protocol) mở.
- Sử dụng Kiro power: Cài đặt Kiro power và bắt đầu bằng câu lệnh "Set up AWS Security Agent". Kiro sẽ kiểm tra "Agent Space" của bạn và hỗ trợ thiết lập mới nếu cần.
- Quét toàn bộ repo: Bạn có thể hỏi "Run a full security scan on this repo" để phát hiện lỗ hổng tích lũy.
- Khắc phục lỗi: Hỏi "help me remediate my findings" để Kiro tải các phát hiện về không gian làm việc cục bộ, ưu tiên các lỗi nghiêm trọng nhất và đề xuất bắt đầu phiên sửa lỗi (bugfix spec session).
- Tạo mô hình đe dọa: Hỏi "Build a threat model for this application" để tạo tệp
.security-agent/threat_model.md.

Kết luận
AWS Security Agent hiện đã hiểu toàn bộ ngữ cảnh bảo mật trong suốt vòng đời phát triển phần mềm, bao gồm:
- Design-time: Đánh giá thiết kế và mô hình hóa mối đe dọa (Preview).
- Development-time: Đánh giá mã nguồn (Preview).
- Deployment-time: Kiểm thử xâm nhập (GA).
Các tính năng này hiện đã có sẵn tại các AWS Regions thương mại nơi AWS Security Agent được hỗ trợ. Bạn có thể truy cập bảng điều khiển Security Agent để dùng thử và gửi phản hồi qua AWS re:Post.
Do you like this post?
Upvote to push this post higher on the community feed
