Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Summit Shanghai 2025 - AIM329

Avatar for Shaoyi Li Shaoyi Li
July 08, 2025
Technology
0
5

AWS Summit Shanghai 2025 - AIM329

This solution introduces an AI-driven, fully automated workflow for code security management and remediation on AWS, covering the entire software development lifecycle (SDLC). By integrating generative AI and machine learning with AWS services such as Amazon Q Developer, Amazon Inspector, and Amazon CodeGuru Security, Amazon GuardDuty, it enables continuous security scanning, vulnerability detection, and automated fixes from code development to production. Developers can leverage IDE plugins for real-time security checks, trigger automated scans and remediation in CI/CD pipelines, and use AI agents to analyze findings and generate code fixes, which are then pushed to new branches for review. The architecture is cloud-native and serverless, ensuring scalability, easy maintenance, and rapid integration with DevOps workflows. The solution supports compliance with standards like PCI DSS and ISO 27001, enhances code security visibility, and empowers developers to adopt a “shift-left” security mindset, ultimately reducing risk and remediation costs.

Avatar for Shaoyi Li

Shaoyi Li

July 08, 2025
Tweet

More Decks by Shaoyi Li

See All by Shaoyi Li
AWS GCR Media Briefing 2023
Avatar for Shaoyi Li szl0144
0
4
AWS re:Inforce 2025 - COM326
Avatar for Shaoyi Li szl0144
0
7

Other Decks in Technology

See All in Technology
alecthomas/kong はいいぞ
Avatar for FUJIWARA Shunichiro fujiwara3
6
1.2k
サイバー攻撃のシミュレーション:攻撃者の視点からみる防御のむずかしさ!AWSで試してみよう / 20250423 Kumiko Hemmi
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
170
20250728 MCP, A2A and Multi-Agents in the future
Avatar for 吉田真吾 yoshidashingo
1
150
Ktor + Google Cloud Tasks/PubSub におけるOTel Messaging計装の実践
Avatar for SansanTech sansantech
PRO
1
340
経理出身PdMがAIプロダクト開発を_ハンズオンで学んだ話.pdf
Avatar for Shunsuke Narita shunsukenarita
1
250
完璧を目指さない小さく始める信頼性向上
Avatar for KAKEHASHI kakehashi
PRO
0
120
OpenTelemetry の Log を使いこなそう
Avatar for Shota Iwami biwashi
5
1.1k
少人数でも回る! DevinとPlaybookで支える運用改善
Avatar for ishikawa-pro ishikawa_pro
4
1.9k
人と生成AIの協調意思決定/Co‑decision making by people and generative AI
Avatar for moriyuya moriyuya
0
200
怖くない!GritQLでBiomeプラグインを作ろうよ
Avatar for 晴れ井戸 pal4de
1
140
Datasets for Critical Operations by Dataform
Avatar for kimujun kimujun
0
120
Kiroから考える AIコーディングツールの潮流
Avatar for Oikon s4yuba
1
500

Featured

See All Featured
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
278
23k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.8k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.8k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.7k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k

Transcript

  1. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。

  2. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 AWS Community Hero

    PAX Technology Inc. Shaoyi Li Revolutionize code security management and remediation with AI agent A I M 3 2 9 Betty Zheng Senior Developer Advocate Amazon Web Services

  3. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 日程 • 如何在软件开发全周期中强化安全

    • 云上AI/ML驱动的安全能力 • 为什么代码安全需要贯穿整个软件开发生命周 • 具体实践与演示

  4. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 为什么代码安全需要贯穿整个软件开发生命周期? 复杂且频繁的网络攻击 强制性合规要求

    端到端的全面覆盖 昂贵的补救成本

  5. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 如何在软件开发全周期中强化安全 高效检查并修复安全问题 安全左移

    确保监管合规 各阶段的安全扫描

  6. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 云上AI/ML驱动的安全能力 A M

    A Z O N Q D E V E L O P E R 测试与安全保障 • 生成单元测试 • 项目安全漏洞扫描 • 生成修复方案

  7. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 云上AI/ML驱动的安全能力 A M

    A Z O N Q D E V E L O P E R 自定义代码推荐 • 基于私有代码库生成代码 • 在IDE中使用chat询问内部代码库相关问题 • 协助理解内部代码库

  8. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 云上AI/ML驱动的安全能力 A M

    A Z O N I N S P E C T O R 机器学习驱动的云上服务,用于发现软件包漏洞

  9. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 云上AI/ML驱动的安全能力 A M

    A Z O N C O D E G U R U S E C U R I T Y 机器学习驱动的,用于识别代码安全漏洞的云上服务 CodeGuru Security CodeWhisperer Amazon Inspector

  10. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 DEPLOY & MONITOR

    TEST BUILD AUTH OR Amazon Q for Developers • SAST • Secrets Detection • Code Quality Amazon CodeGuru • SAST • Secrets Detection • Code Quality AWS CodeBuild + 3rd party • SCA Amazon CodeBuild + 3rd party Amazon DevOps Guru • Container scans Elastic Container Service (ECR) • Monitoring & logging • Synthetic tests Amazon CloudWatch • Monitoring & logging • Synthetic tests Amazon CloudWatch Amazon CodeBuild + 3rd party Amazon CodeBuild + 3rd party • DAST Amazon CodeBuild + 3rd party Amazon Inspector 云上AI/ML驱动的安全能力

  11. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 开发者在 IDE 中编写代码

    安装扩展程序 启用自动代码扫描并修复安全漏洞 将代码推送至远程仓库 1 2 3 4 1 2 3 4 开发者 IDE中的源代码 Amazon Q Developer 已修复的代码库 GitHub远程仓库 方案实践: 借助生成式AI提升代码安全 在 编 码 阶 段 利 用 生 成 式 A I 提 升 安 全 性

  12. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 在 代 码

    构 建 阶 段 利 用 A I / M L 提 升 安 全 性 1 2 3 4 5 AWS CodePipeline 1 2 3 触发OWASP dependency check的SCA扫描 触发Amazon CodeGuru的SAST扫描 构建并容器化应用程序 4 5 将镜像推送至Amazon ECR 扫描容器中的软件包漏洞 GitHub代码仓库 SCA扫描 SAST扫描 Amazon CodeBuild Amazon ECR Amazon Inspector 方案实践: 借助生成式AI提升代码安全

  13. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 在 部 署

    阶 段 ( 预 发 布 环 境 ) 强 化 代 码 安 全 Amazon ECR Amazon ECS (预发布环境) DAST扫描 Amazon CodeDeploy 手动批准 CodePipeline 1 3 5 4 5 1 2 3 镜像推送触发Amazon CodeDeploy阶段 将镜像部署到Amazon ECS上启动 触发OWASP ZAP的DAST扫描 执行DAST扫描并将扫描报告上传至 Amazon S3 当报告符合组织漏洞管理策略, 批准上线到生产环境 4 2 方案实践: 借助生成式AI提升代码安全

  14. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 在 部 署

    和 运 行 时 阶 段 ( 生 产 环 境 ) 强 化 代 码 安 全 手动批准 Amazon CodeDeploy Amazon ECS (生产环境) CodePipeline 1 2 1 2 由开发团队负责人批准生产环境部署 将容器镜像部署至生产环境的Amazon ECS 3 Amazon GuardDuty 3 启动Amazon ECS的GuardDuty Runtime Monitoring 方案实践: 借助生成式AI提升代码安全

  15. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 解 析 并

    将 安 全 发 现 存 入 A M A Z O N D Y N A M O D B Amazon S3 Amazon Lambda Amazon DynamoDB Amazon SNS 开发团队 1 2 3 5 1 Amazon S3事件通知触发安全发现报告的读取 2 3 4 从JSON格式的报告中提取代码漏洞并存储 到Amazon DynamoDB数据库 将告警通知发送给开发团队进行修复 EventBridge规则被触发,产生漏洞告警 方案实践: 借助生成式AI提升代码安全 5 创建Amazon EventBridge规则,定义成当 发现漏洞时被触发 Amazon EventBridge 4

  16. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 调用AI大模型对漏洞进 行分析并提供修复建议 通过Elastic

    Load Balancing发送请求 利 用 A I / M L 进 行 代 码 安 全 发 现 分 析 和 修 复 建 议 生 成 安全团队 Amazon ALB Amazon ECS (Streamlit框架) Amazon API Gateway Amazon Lambda DynamoDB Amazon Bedrock 1 4 3 5 7 6 1 3 4 5 7 6 访问部署在 Amazon ECS上的 网页应用. 调用后端RESTful API 通过Lambda proxy integration 调用Lambda函数 读取DynamoDB中 的安全漏洞信息 2 Amazon Cognito 3 2 2 通过Amazon Cognito进行 身份认证和授权 方案实践: 借助生成式AI提升代码安全

  17. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 提出代码修复请求 基 于

    安 全 发 现 利 用 A I A G E N T 自 动 修 复 G I T H U B 代 码 开发团队 DynamoDB Amazon Bedrock Agent (Claude Sonnet 4) 1 2 6 1 2 3 4 通过提示词调用Agent 理解用户问题并调 用Action Group 利用OpenAPI Schema 定义Action Group输 入、响应格式 方案实践: 借助生成式AI提升代码安全 Prompt 对话历史 用户请求 工具:Action Groups 任务指令 You are a code scanning and remediating AI assistant…. ReAct推理流程 任务分解和计划 调用大模型生成 调用结果 调用工具执行 解析响应 3 4 Amazon S3 5 Amazon Lambda 7 APIs /fetch_code /remediate _code /push_code Agents Action Group 5 调用Lambda函数 执行任务 7 调用API修复代码 并推送到仓库 6 提取安全漏洞信息

  18. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 演示: 生成式AI驱动的代码漏洞修复

  19. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 安全管理中心: 1. 聚合账户中所有代码安全发现

    2. 按应用对扫描结果分组 3. 快速了解应用的整体安全姿态 4. 覆盖多种扫描结果: 包含SAST, DAST, SCA和Inspector的安全发现 5. 支持按风险级别或漏洞名排序 6. 可对发现结果搜索和过滤 演示: 生成式AI驱动的代码漏洞修复

  20. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 安全发现详情页: 1. 获得某个安全发现的详细信息

    2. 定位漏洞代码段、位置和文件路径 3. 借助生成式AI提供安全发现分析和 代码修复方案,帮助开发者培养应用 安全理念 演示: 生成式AI驱动的代码漏洞修复

  21. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 提供定制化修复建议: 1. 输入漏洞代码片段

    2. 添加安全发现描述 3. 选择与发现类型匹配的提示词模版 4. 支持输入定制化修复提示词内容 5. 选择AI模型(Amazon Nova, Claude, Llama , Titan G1 , Mistal AI等) 6. 配置LLM推理参数 7. 点击生成修复建议 演示: 生成式AI驱动的代码漏洞修复

  22. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 结果: 1. LLM返回修复后的代码段

    2. 对修复方案进行详细解释 3. 用修复后的代码段替换问题 代码 演示: 生成式AI驱动的代码漏洞修复

  23. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 演示: 生成式AI驱动的代码漏洞修复 2.

    对话式代码自动修复 1. 添加项 目名 3. 输入代码库URL和分支 4. Success! 修复成功 代码漏洞自动化修复AI Agent: 1. 添加项目名,后台自动导入项 目漏洞信息 2. 通过自然语言提出修复请求 3. 输入修复参数 • GitHub代码库URL • 需要修复的分支 • 修复中需要排除的文件、文件夹 • 推送修复后代码的新分支名 4. 等待修复完成,提示Success

  24. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 演示: 生成式AI驱动的代码漏洞修复 结果:

    1. Agent自动完成问题代码的扫描、 分析、修改和提交 2. 基于项目之前的扫描报告,正 确修改SQL注入等代码安全漏洞 3. 在新分支提交修改,避免影响 主分支,通过PR审核后合并 1. 进入GitHub提交记录 2. 查看AI对分支的修改历史 3. AI正确修改SQL注入漏洞

  25. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 在GitHub上获取AI代码漏洞修复助手 生成式AI驱动的自动化代码漏洞修复Agent。 可自动识别并修复GitHub代码仓库中的安

    全漏洞、性能瓶颈、代码规范和复杂度问 题,帮助开发者高效提升代码安全性,优 化代码质量。 扫码访问代码库,共建开源项目

  26. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 ➢ 利用AI/ML赋能安全漏洞分析和修复,为安全运营增效 ➢

    对SDLC全生命周期进行安全扫描并利用Agent自动化修复 ➢ 打破安全信息孤岛,全面提升代码安全可见性 ➢ 培养开发者“安全左移”意识,降低安全风险和修复成本 ➢ 满足多种主流安全合规框架要求,如PCI DSS、ISO 27001等 ➢ 完全托管的无服务器架构,易维护、可扩展性好 ➢ 脚本化一键部署,拥抱社区,项目开源 Summary 解 决 方 案 的 优 势 未 来 计 划 ➢ 借助MCP协议集成GitHub代码库,为Amazon Bedrock Agent提供更多的代码上下文,进一步提高代 码修复的准确性。

  27. © 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。 Thank you!