AWS CDK + cdk-nag

• 開発者は静的解析（SAST）ツールを利用して、セキュリティやコンプライアンス問題を特定し、アプリケーションを本番環境にリリースする前に、これらの問題を早期に軽減する。さらに、SASTツールは開発者がセキュリティレビュー中にコンプライアンスを検証するために役立つレポートメカニズムを提供してくれる。
• cdk-nag は、AWS CDKと統合して、SAST同様の検出及びレポートメカニズムを提供する。
  • 与えられたルール群に準拠しているか検証する
  • ルール抑制とコンプライアンスレポートシステムを提供する
  • 抑制されていないエラーがcdk deployコマンドによるアプリケーションデプロイを防いでくれる

AWS Cloud Development Kit と cdk-nag でアプリケーションのセキュリティとコンプライアンスを管理する

cdk-nagを使用したAWS CDKのセキュリティチェック　～基本編～

cdk-nagを使用したAWS CDKのセキュリティチェック　～独自ルール作成～

なぜサプレスが重要なのか?

• スキャンルールはあくまでもベストプラクティス集であり、その全てをクリアできないケース、あるいはする必要がないケースが多い
• 不要なルールがサプレスされずに結果に残り続けると、確認する際のノイズになり、差分もわかりにくくなる。
• CIに組み込んでいる場合、ノイズが多いとそのうち結果を確認しなくなる
• ただし、サプレスするならなるべく細かい粒度（リソースレベルかそれ以下）にすることが重要。
  • プロジェクト全体で絶対に対応しない方針なら良いが、不用意にグローバルでルールをサプレスすると、リソース追加した際に気にかけておくべきベストプラクティスを見逃す

サプレスをどこに書くかは、すごく参考になる。
私もサプレスのみまとめて書くは良いと思う。

AWSインフラをCDKでIaC化したらcdk-nagでセキュリティスキャンしたくない？（特にサプレスの方法）

https://speakerdeck.com/kinyok/sekiyuriteisukiyanturu-cdk-nag-woshi-tutemita

AWS re:Inventで紹介されたみたい。
[レポート]Governance and security with infrastructure as code #reinvent

DevSecOpsの話になるけど、これはツール選定として知っておきたい
https://www.slideshare.net/MasayaTahara/ossawsdevsecops-securityjaws24