As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Revisões do código de prontidão para lançamento
As análises de código de prontidão para lançamento avaliam suas alterações de código quanto aos riscos de dependência entre repositórios, à conformidade com os padrões internos e à exatidão do controle de acesso. Ele também realiza testes de verificação automatizados — ele cria, executa e testa suas alterações de código — em um ambiente de verificação gerenciado pelo AWS DevOps Agente.
Introdução
Para usar as análises de código de prontidão para lançamento, conclua as etapas de configuração a seguir.
Etapa 1: habilitar recursos em seus repositórios
Os recursos de revisão de código e teste automatizado devem estar habilitados em seus repositórios conectados GitHub ou em seus GitLab repositórios antes que possam ser acionados.
A seção Revisão de código e teste automatizado nas configurações de integração do seu provedor de pipeline fornece dois recursos por repositório:
Análise automática de alterações por gatilho — Quando ativado, o DevOps Agente executa automaticamente uma revisão do código de prontidão de lançamento sempre que uma pull request ou uma solicitação de mesclagem é aberta ou atualizada. Os resultados da revisão aparecem como comentários embutidos no PR/MR.
Teste de verificação automatizado — Quando ativado, o DevOps Agent cria, executa e testa suas alterações de código em um ambiente de verificação gerenciado durante as análises de código. Isso fornece validação funcional além da análise estática. Para obter mais informações, consulte Teste de verificação automatizado.
Você pode ativar ou desativar cada recurso de forma independente por repositório, permitindo que você use revisões de alterações sem testes de verificação ou vice-versa.
A seção também inclui:
Função de tempo de execução (opcional) — Escolha a função do IAM que o DevOps Agente assume para executar recursos automatizados nos repositórios selecionados. Essa função é usada ao acessar serviços internos durante compilações, como registros de pacotes privados ou armazenamentos de artefatos. Para obter mais informações, consulte Etapa 2.
Para GitHub: Navegue até a seção Revisão de código e teste automatizado em suas configurações de GitHub integração e ative os recursos para cada repositório. Ambos os recursos são habilitados por padrão quando você conecta repositórios. Para obter instruções detalhadas, consulte Como configurar a revisão de código e o teste automatizado.
Para GitLab: Navegue até a seção Revisão de código e teste automatizado em suas configurações de GitLab integração e ative os recursos para seus projetos. Para obter instruções detalhadas, consulte Como configurar a revisão de código e o teste automatizado.
Etapa 2: configurar o acesso privado à VPC para o ambiente de teste de verificação (opcional)
As análises de código de prontidão para lançamento podem realizar testes de verificação automatizados criando, executando e testando suas alterações de código em um ambiente de verificação (consulte Testes de verificação automatizados). Se seu processo de criação de código exigir artefatos de sistemas internos, como repositórios de imagens privados (por exemplo, Artifactory, Docker Hub Enterprise), armazenamentos internos de artefatos de compilação ou repositórios de código dependentes, você precisará dar ao ambiente de teste de verificação acesso a uma VPC que possa alcançar esses endpoints de serviço.
Por padrão, o ambiente de teste de verificação não tem acesso de rede aos seus sistemas internos. Para habilitar o acesso, crie uma conexão privada e associe-a ao seu provedor de pipeline (GitHubou GitLab). O ambiente de teste de verificação usa a VPC associada a essa conexão privada criando e gerenciando uma ENI dentro da VPC, dando ao ambiente de construção acesso de rede aos seus serviços internos.
nota
A integração com VPCs em sua conta direciona o tráfego de rede por meio de suas rotas internas, seguindo todas as restrições de rede em vigor.
Para configurar o acesso privado à VPC para testes de verificação:
Crie uma conexão privada que tenha como alvo a VPC, onde seus serviços de compilação internos estão acessíveis. Para instruções, consulte Conectando-se a ferramentas hospedadas de forma privada.
Abra o console do AWS DevOps agente e navegue até seu Espaço do agente.
Vá até a guia Capacidades e selecione seu provedor de funil (GitHub ou GitLab).
Na seção Revisão de código e teste automatizado, associe a conexão privada ao seu provedor de pipeline selecionando-a entre as conexões disponíveis.
Para a função Runtime, selecione uma função do IAM que o DevOps Agente assumirá ao acessar serviços internos durante as compilações. Essa função deve ter permissão para acessar o AWS Secrets Manager na mesma AWS conta do seu Espaço do Agente. Recomendamos usar uma função diferente da sua função de agente principal.
Escolha Salvar para aplicar sua configuração.
Uma vez associado, o ambiente de teste de verificação provisionará uma ENI na VPC da conexão privada, dando acesso direto à rede aos seus serviços internos durante as compilações de revisão de código.
Realizando uma revisão de código
Você pode solicitar uma revisão de código sob demanda por meio do chat do DevOps agente:
“Analise a filial do serviço feature/payments de pagamento de recompra para verificar os riscos de liberação”
“Revise o commit abc123 na infraestrutura de repositório para ver se está pronto para o lançamento”
“Quais riscos de lançamento existem nas últimas mudanças no serviço de pedidos de recompra?”
O agente avalia o escopo especificado — uma ramificação, uma confirmação ou um conjunto de alterações — e retorna um relatório de prontidão para lançamento. O relatório inclui:
Ação recomendada — BLOQUEAR, PROSSEGUIR COM CUIDADO OU LIBERAR COM SEGURANÇA
Resumo das mudanças — O que foi modificado e o escopo do impacto
Análise de risco — descobertas específicas com localizações de código afetadas
Recomendações — Etapas acionáveis para resolver cada descoberta
As avaliações geralmente são concluídas em 8 a 10 minutos, dependendo do tamanho e da complexidade da alteração.
Revisões automatizadas de código
As revisões de código automatizadas são executadas sem intervenção manual. Eles podem ser acionados em dois contextos:
Revisões de código durante a geração de código
Ao usar o plug-in Kiro Power ou Claude Code, o agente de codificação pode invocar uma análise de prontidão de lançamento à medida que o código está sendo gerado. A análise avalia as mudanças em andamento em relação às suas políticas e dependências, apresentando descobertas diretamente no IDE antes que o código seja confirmado.
Se forem encontrados problemas, o agente de codificação é notificado e pode resolvê-los imediatamente, corrigindo violações de políticas, corrigindo políticas de IAM com permissão excessiva ou preparando alterações dependentes em outros repositórios.
Revisões de código em pull requests e solicitações de mesclagem
Quando as PR/MR revisões automatizadas estão habilitadas, o agente revisa cada nova pull request e merge request em seus repositórios conectados. As avaliações são acionadas quando:
Um novo PR/MR é aberto
Novos commits são enviados para um existente PR/MR
As descobertas aparecem como comentários embutidos nas linhas de código afetadas, com a avaliação geral publicada como um PR/MR comentário. Você pode configurar se as descobertas bloqueiam mesclagens (verificação de status obrigatória) ou se são apenas consultivas.
Teste de verificação automatizado
Quando uma avaliação de risco de prontidão de lançamento é acionada, o DevOps Agente cria um ambiente de verificação AWS gerenciado e clona seu código nele. O ambiente é executado em recursos computacionais dedicados com restrições de rede que limitam o acesso a serviços confiáveis para criação, armazenamento de artefatos e recuperação.
DevOps O agente lê o código e os arquivos de projeto do seu aplicativo para determinar as ferramentas e dependências de construção necessárias e, em seguida, as instala no ambiente de verificação. Depois de criar seu aplicativo com sucesso, o agente gera um plano de teste e o executa para identificar riscos funcionais, como casos extremos que podem resultar em falhas ou comportamento inesperado.
Os resultados dos testes de verificação estão incluídos no relatório final de preparação para a versão, juntamente com os resultados de padrões, dependências e controle de acesso.
Você pode usar Instruções do agente (AGENTS.md) para ajustar como o teste de verificação é realizado — por exemplo, especificar quais comandos de teste executar, o que constitui uma compilação aprovada ou quais partes do aplicativo devem ser exercidas durante a verificação.
Destinos de rede permitidos
O ambiente de teste de verificação tem acesso à rede de saída restrito a uma lista de permissões predefinida. Seu aplicativo pode alcançar os seguintes domínios durante a validação:
| Domínio | Finalidade |
|---|---|
.amazonaws.com, .aws.amazon.com |
AWS serviços |
.public.ecr.aws |
Amazon ECR Public |
.docker.com, .docker.io |
Docker Hub |
.github.com, .githubusercontent.com |
GitHub |
.gitlab.com |
GitLab |
.npmjs.com, .npmjs.org |
registro npm |
.pypi.org, .pypi.python.org, .pythonhosted.org |
Python Package Index |
.crates.io, .rustup.rs |
Pacotes Rust |
.maven.org, .gradle.org |
Java/Gradle pacotes |
.nuget.org |
Pacotes.NET |
.rubygems.org, .ruby-lang.org |
Pacotes Ruby |
.golang.org, .pkg.go.dev, .goproxy.io |
Pacotes Go |
.nodejs.org, .yarnpkg.com |
Node.js |
.alpinelinux.org, .debian.org, .ubuntu.com, .centos.org, .fedoraproject.org |
Repositórios de distribuição Linux |
.cloudfront.net |
CloudFront distribuições |
.google.com, .googleapis.com |
APIs do Google |
.microsoft.com, .visualstudio.com |
Serviços da Microsoft |
.sourceforge.net, .bitbucket.org |
Hospedagem de origem |
nota
Se seu aplicativo exigir acesso à rede para domínios que não estão nessa lista, você pode conectar seu ambiente de teste de verificação a uma VPC para fazer com que o agente use suas próprias configurações de firewall de rede, permitindo que você configure o acesso a qualquer um dos serviços que seu aplicativo exige.
Analisando os resultados da revisão de código
Cada revisão de código produz um relatório acessível na página Alterações do aplicativo web DevOps Agent. Os relatórios incluem:
Encontrando categorias — violações de políticas, riscos de dependência, problemas de controle de acesso e lacunas na cobertura de testes
Níveis de severidade — Bloqueio (deve ser corrigido antes da fusão), Aviso (deve ser resolvido) e Informativo (somente para conscientização)
Diário de execução — O rastreamento completo das etapas e ferramentas de avaliação usadas pelo agente, fornecendo transparência sobre como as conclusões foram alcançadas
Você também pode fazer perguntas complementares no chat do DevOps agente: “Por que a avaliação sinalizou a mudança do IAM na linha 42?” ou “Quais repositórios dependem do endpoint da API que eu modifiquei?”
Integre com o Kiro IDE e a CLI
Para usar as revisões de código de prontidão para lançamento no Kiro:
Instale o DevOps Agent Kiro Power do mercado Kiro Power
O poder inclui habilidades que instruem o agente de codificação quando invocar análises de prontidão de lançamento — após alterações significativas no código e antes de criar um PR
As descobertas surgem diretamente no IDE, e a Kiro se oferecerá para corrigir os problemas identificados
Na CLI do Kiro, você também pode acionar revisões de forma explícita: o agente de codificação invocará a revisão de prontidão para o lançamento e incorporará as descobertas em seu fluxo de trabalho.
Integre com Claude Code
Para usar as revisões de código de prontidão para lançamento no Claude Code:
Instale o DevOps plug-in Agent Claude Code
O plug-in conecta o Claude Code ao seu Espaço do Agente e permite que o agente de codificação invoque análises de prontidão para lançamento.
Durante o desenvolvimento, a Claude Code pode solicitar uma revisão das mudanças em andamento e abordar as descobertas antes de se comprometer
Integre com AWS Transforme de forma personalizada
Para usar as análises de código de prontidão para lançamento no AWS Transform custom:
Baixe a habilidade AWS DevOps Agent Release Reviews Code Reviews no repositório de amostras personalizadas do AWS Transform
em. GitHub Instale a habilidade em seu ambiente AWS Transform seguindo as instruções no repositório README.
Depois de instalada, a habilidade se integra ao fluxo de trabalho de geração de código do AWS Transform. Quando o Transform gera ou modifica o código, a habilidade invoca uma análise de prontidão para o lançamento em relação às alterações propostas.
Analise a superfície das descobertas diretamente na saída do Transform. Se forem identificados problemas, o Transform poderá resolvê-los antes de finalizar a alteração do código.
Usando revisões de código em GitHub
Pré-requisitos: GitHub repositório conectado ao seu Espaço do Agente com revisões automatizadas ativadas. Para obter instruções de configuração, consulte Como configurar a revisão de código e o teste automatizado.
As avaliações aparecem como comentários embutidos nas diferenças do pull request, com um comentário geral sobre o status
Configure como uma verificação de status obrigatória para bloquear mesclagens quando existirem descobertas de bloqueio
O agente revisa todos os PRs por padrão; a filtragem de caminho e ramificação é configurável nas configurações do seu Espaço do Agente
Usando revisões de código em GitLab
Pré-requisitos: GitLab projeto conectado ao seu Espaço do Agente com revisões automatizadas ativadas. Para obter instruções de configuração, consulte Como configurar a revisão de código e o teste automatizado.
As avaliações aparecem como comentários embutidos nas diferenças entre solicitações de mesclagem, com uma nota geral
Configure como uma regra de aprovação de solicitação de mesclagem para exigir a resolução das descobertas de bloqueio
O agente revisa todos os MRs por padrão; a filtragem de caminho e ramificação é configurável nas configurações do Agent Space
Usando revisões de código no chat DevOps do agente
No chat do DevOps agente, você pode:
Solicite revisões de qualquer ramificação, commit ou escopo de repositório
Pergunte o que o agente sabe sobre as dependências do seu projeto: “Quais bases de código interagem com o serviço no repositório de pagamentos?”
Faça perguntas complementares sobre descobertas específicas
Solicite que o agente gere uma correção para um problema identificado
Visualize o gráfico de conhecimento de dependências para seus repositórios conectados
Guardrails de segurança Agentic
As análises de prontidão para lançamento incluem proteções de segurança integradas que evitam comportamentos comuns de agentes inseguros. Essas grades de proteção estão sempre ativas durante o processo de revisão. A cobertura específica e o comportamento de fiscalização podem mudar à medida que o recurso evolui. Embora nosso objetivo seja cobrir o maior número possível de comportamentos inseguros comuns, alguns comportamentos não terão barreiras de proteção correspondentes.
Prevenção de exposição de credenciais
O agente bloqueia qualquer chamada de ferramenta em que a entrada da ferramenta contenha padrões de credenciais comuns em texto simples, como AWS chaves, tokens de acesso e chaves privadas.
Detecção de exfiltração de arquivos sensíveis
O agente verifica e bloqueia comandos de shell que combinam acesso a caminhos de arquivos confidenciais com operações de rede, evitando tentativas de exfiltração de dados.
Mutativo AWS bloqueio de operação
O agente bloqueia qualquer chamada de AWS API que modifique sua infraestrutura. Isso impede que o agente de revisão faça alterações em seu AWS ambiente durante a análise. Read-only operações (describe, get, list) são permitidas; operações mutativas são bloqueadas.
Read-only operações como describe_*get_*, e list_* são permitidas.
Aplicação de fases sequenciais
As fases de revisão de prontidão para lançamento devem ser executadas em sequência. Isso garante uma avaliação sistemática e completa e evita que avaliações incompletas sejam ignoradas.