View a markdown version of this page

Revisiones del código de preparación para el lanzamiento - AWS DevOps Agente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisiones del código de preparación para el lanzamiento

Las revisiones del código de preparación para el lanzamiento evalúan los cambios en el código para determinar los riesgos de dependencia entre repositorios, el cumplimiento de las normas internas y la exactitud del control de acceso. También realiza pruebas de verificación automatizadas (compila, ejecuta y prueba los cambios de código) en un entorno de verificación gestionado por el agente. AWS DevOps

Introducción

Para utilizar las revisiones del código de preparación para el lanzamiento, complete los siguientes pasos de configuración.

Paso 1: Habilita las capacidades en tus repositorios

Las funciones de revisión de código y pruebas automatizadas deben estar habilitadas en los repositorios conectados GitHub o en GitLab los repositorios que estén conectados antes de que puedan activarse.

La sección de revisión de código y pruebas automatizadas de la configuración de integración de tu proveedor de canalización ofrece dos funciones por repositorio:

  • Activación automática de la revisión de cambios: cuando está habilitada, DevOps Agent realiza automáticamente una revisión del código de preparación para el lanzamiento cada vez que se abre o actualiza una solicitud de extracción o fusión. Los resultados de la revisión aparecen como comentarios en línea en el PR/MR.

  • Pruebas de verificación automatizadas: cuando está habilitado, DevOps Agent crea, ejecuta y prueba los cambios de código en un entorno de verificación gestionado durante las revisiones del código. Esto proporciona una validación funcional más allá del análisis estático. Para obtener más información, consulte Pruebas de verificación automatizadas.

Puedes activar o desactivar cada capacidad de forma independiente en cada repositorio, lo que te permite utilizar las revisiones de cambios sin necesidad de realizar pruebas de verificación o viceversa.

La sección también incluye:

  • Función de tiempo de ejecución (opcional): elija la función de IAM que asumirá el DevOps agente para ejecutar las funciones automatizadas en los repositorios que seleccione. Esta función se utiliza para acceder a los servicios internos durante las compilaciones, como los registros de paquetes privados o los almacenes de artefactos. Para obtener más información, consulte Paso 2.

Para GitHub: Dirígete a la sección Revisión de código y pruebas automatizadas en tu configuración de GitHub integración y activa las funciones de cada repositorio. Ambas capacidades están habilitadas de forma predeterminada al conectar los repositorios. Para obtener instrucciones detalladas, consulte Configuración de la revisión de código y las pruebas automatizadas.

Para GitLab: Diríjase a la sección Revisión de código y pruebas automatizadas en su configuración de GitLab integración y active las funciones para sus proyectos. Para obtener instrucciones detalladas, consulte Configuración de la revisión de código y las pruebas automatizadas.

Paso 2: Configurar el acceso a la VPC privada para el entorno de pruebas de verificación (opcional)

Las revisiones del código de preparación para la versión pueden realizar pruebas de verificación automatizadas mediante la creación, ejecución y prueba de los cambios de código en un entorno de verificación (consulte Pruebas de verificación automatizadas). Si su proceso de creación de código requiere artefactos de sistemas internos, como repositorios de imágenes privados (por ejemplo, Artifactory, Docker Hub Enterprise), almacenes de artefactos de compilación internos o repositorios de código dependientes, debe permitir que el entorno de pruebas de verificación acceda a una VPC que pueda llegar a esos puntos finales del servicio.

De forma predeterminada, el entorno de pruebas de verificación no tiene acceso de red a sus sistemas internos. Para habilitar el acceso, crea una conexión privada y asóciala con tu proveedor (GitHubo GitLab) de canalización. El entorno de pruebas de verificación utiliza la VPC asociada a esa conexión privada mediante la creación y la administración de un ENI dentro de la VPC, lo que proporciona al entorno de compilación acceso de red a sus servicios internos.

nota

La integración con las VPC de su cuenta redirige el tráfico de red a través de sus rutas internas, siguiendo las restricciones de red vigentes.

Para configurar el acceso a la VPC privada para las pruebas de verificación:

  1. Cree una conexión privada que se dirija a la VPC donde se puede acceder a sus servicios de compilación internos. Para obtener instrucciones, consulte Conexión a herramientas alojadas de forma privada.

  2. Abre la consola del AWS DevOps agente y navega hasta tu espacio de agente.

  3. Ve a la pestaña Capacidades y selecciona tu proveedor (GitHub o GitLab) de canalización.

  4. En la sección Revisión de código y pruebas automatizadas, asocie la conexión privada con su proveedor de canalización seleccionándolo entre las conexiones disponibles.

  5. Para la función Runtime, selecciona una función de IAM que el DevOps agente asumirá al acceder a los servicios internos durante las compilaciones. Este rol debe tener permiso para acceder a AWS Secrets Manager en la misma AWS cuenta que tu Agent Space. Te recomendamos usar un rol diferente al de tu rol de agente principal.

  6. Seleccione Guardar para aplicar la configuración.

Una vez asociado, el entorno de pruebas de verificación aprovisionará un ENI en la VPC de la conexión privada, lo que le dará acceso directo a la red a sus servicios internos durante las compilaciones de revisión del código.

Realización de una revisión del código

Puedes solicitar una revisión del código a pedido a través del chat del DevOps agente:

  • «Revise la sucursal del servicio feature/payments de pago de repos para conocer los riesgos de liberación»

  • «Revise el comando abc123 sobre la infraestructura de repositorios para comprobar si está listo para su lanzamiento»

  • «¿Qué riesgos de publicación conllevan los cambios más recientes en el servicio de pedidos de repositorios?»

El agente evalúa el ámbito especificado (una rama, una confirmación o un conjunto de cambios) y devuelve un informe de preparación para el lanzamiento. El informe incluye:

  • Acción recomendada: BLOQUEE, proceda con precaución o libérelo de forma segura

  • Resumen de los cambios: qué se modificó y el alcance del impacto

  • Análisis de riesgos: hallazgos específicos con las ubicaciones de los códigos afectados

  • Recomendaciones: pasos prácticos para resolver cada hallazgo

Las revisiones suelen completarse en un plazo de 8 a 10 minutos, según el tamaño y la complejidad del cambio.

Revisiones de código automatizadas

Las revisiones de código automatizadas se ejecutan sin intervención manual. Se pueden activar en dos contextos:

Revisiones del código durante la generación del código

Cuando se utiliza el complemento Kiro Power o Claude Code, el agente de codificación puede solicitar una revisión de la preparación del lanzamiento a medida que se genera el código. La revisión evalúa los cambios en curso comparándolos con sus políticas y dependencias, y muestra los resultados directamente en el IDE antes de publicar el código.

Si se detectan problemas, se notifica al agente de codificación y puede solucionarlos de inmediato: corrigiendo las infracciones de las políticas, corrigiendo las políticas de IAM sobreautorizadas o preparando los cambios dependientes en otros repositorios.

Revisa el código en las solicitudes de incorporación de cambios y en las solicitudes de fusión

Cuando las PR/MR revisiones automatizadas están habilitadas, el agente revisa cada nueva solicitud de extracción y solicitud de fusión en tus repositorios conectados. Las reseñas se activan cuando:

  • Se abre PR/MR una nueva

  • Las nuevas confirmaciones se transfieren a una existente PR/MR

Los resultados aparecen como comentarios en línea en las líneas de código afectadas, y la evaluación general se publica como un PR/MR comentario. Puede configurar si los hallazgos bloquean las fusiones (verificación de estado obligatoria) o solo son orientativos.

Pruebas de verificación automatizadas

Cuando se activa una evaluación de los riesgos de preparación para el lanzamiento, DevOps Agent crea un entorno AWS de verificación gestionado y clona el código en él. El entorno se ejecuta en recursos informáticos dedicados con restricciones de red que limitan el acceso a servicios confiables de creación, almacenamiento y recuperación de artefactos.

DevOps El agente lee el código y los archivos del proyecto de la aplicación para determinar las herramientas de compilación y las dependencias necesarias y, a continuación, las instala en el entorno de verificación. Tras crear correctamente la aplicación, el agente genera un plan de pruebas y lo ejecuta para identificar los riesgos funcionales, como los casos extremos que podrían provocar fallos o un comportamiento inesperado.

Los resultados de las pruebas de verificación se incluyen en el informe final de preparación para la versión, junto con los resultados en materia de normas, dependencias y control de acceso.

Puedes usar Instrucciones del agente (AGENTS.md) para ajustar la forma en que se realizan las pruebas de verificación, por ejemplo, especificando qué comandos de prueba se van a ejecutar, qué constituye una compilación válida o qué partes de la aplicación se van a utilizar durante la verificación.

Destinos de red permitidos

El entorno de pruebas de verificación tiene el acceso a la red saliente restringido a una lista de permitidos predefinida. La aplicación puede acceder a los siguientes dominios durante la validación:

Dominio Finalidad
.amazonaws.com, .aws.amazon.com AWS servicios
.public.ecr.aws Amazon ECR Public
.docker.com, .docker.io Docker Hub
.github.com, .githubusercontent.com GitHub
.gitlab.com GitLab
.npmjs.com, .npmjs.org registro npm
.pypi.org, .pypi.python.org, .pythonhosted.org Índice de paquetes de Python
.crates.io, .rustup.rs Paquetes de Rust
.maven.org, .gradle.org Java/Gradle paquetes
.nuget.org paquetes.NET
.rubygems.org, .ruby-lang.org Paquetes de Ruby
.golang.org, .pkg.go.dev, .goproxy.io Paquetes Go
.nodejs.org, .yarnpkg.com Node.js
.alpinelinux.org, .debian.org, .ubuntu.com, .centos.org, .fedoraproject.org Repositorios de distribución de Linux
.cloudfront.net CloudFront distribuciones
.google.com, .googleapis.com API de Google
.microsoft.com, .visualstudio.com Servicios de Microsoft
.sourceforge.net, .bitbucket.org Alojamiento de origen
nota

Si su aplicación requiere acceso a la red a dominios que no figuran en esta lista, puede conectar el entorno de pruebas de verificación a una VPC para que el agente utilice su propia configuración de firewall de red, lo que le permitirá configurar el acceso a cualquiera de los servicios que requiera la aplicación.

Revisar los resultados de la revisión del código

Cada revisión de código genera un informe al que se puede acceder en la página de cambios de la aplicación web DevOps Agent. Los informes incluyen:

  • Búsqueda de categorías: infracciones a las políticas, riesgos de dependencia, problemas de control de acceso y brechas en la cobertura de las pruebas

  • Niveles de gravedad: bloqueante (debe corregirse antes de la fusión), advertencia (debe abordarse) e informativo (solo información)

  • Diario de ejecución: registro completo de los pasos y herramientas de evaluación utilizados por el agente, que proporciona transparencia sobre la forma en que se llegó a las conclusiones

También puedes hacer preguntas de seguimiento en el chat del DevOps agente: «¿Por qué la reseña señaló el cambio de IAM en la línea 42?» o «¿Qué repositorios dependen del punto final de la API que modifiqué?»

Integre con Kiro IDE y CLI

Para utilizar las revisiones del código de preparación para el lanzamiento en Kiro:

  1. Instale el DevOps agente Kiro Power del mercado de Kiro Power

  2. El poder incluye habilidades que indican al agente de programación cuándo debe solicitar las revisiones de preparación para el lanzamiento, después de cambios importantes en el código y antes de crear un PR

  3. Las conclusiones salen a la luz directamente en el IDE y Kiro se encargará de solucionar los problemas identificados

Desde la CLI de Kiro, también puede activar las revisiones de forma explícita: el agente de codificación invocará la revisión de preparación para el lanzamiento e incorporará los resultados a su flujo de trabajo.

Intégrelo con Claude Code

Para utilizar las revisiones del código de preparación para el lanzamiento en Claude Code:

  1. Instale el complemento DevOps Agent Claude Code

  2. El complemento conecta Claude Code con tu espacio de agente y permite al agente de programación invocar las revisiones de preparación para el lanzamiento

  3. Durante el desarrollo, Claude Code puede solicitar una revisión de los cambios en curso y abordar las conclusiones antes de comprometerse

Integre con AWS Transforma de forma personalizada

Para utilizar las revisiones del código de preparación para el lanzamiento en AWS Transform custom:

  1. Descargue la habilidad de revisión del código de preparación para el lanzamiento del AWS DevOps agente desde el repositorio de muestras personalizadas de AWS Transform en GitHub.

  2. Instale la habilidad en su entorno de AWS Transform siguiendo las instrucciones del repositorio README.

  3. Una vez instalada, la habilidad se integra con el flujo de trabajo de generación de código de AWS Transform. Cuando Transform genera o modifica código, la habilidad recurre a una revisión de la preparación para el lanzamiento comparándola con los cambios propuestos.

  4. Los resultados de la revisión aparecen directamente en el resultado de Transform. Si se identifican problemas, Transform puede solucionarlos antes de finalizar el cambio de código.

Uso de revisiones de código en GitHub

Requisitos previos: GitHub repositorio conectado a su espacio de agente con las revisiones automatizadas habilitadas. Para obtener instrucciones de configuración, consulte Configuración de la revisión de código y las pruebas automatizadas.

  • Las reseñas aparecen como comentarios en línea en las diferencias de solicitud de cambios, con un comentario de estado general

  • Se configura como una verificación de estado obligatoria para bloquear las fusiones cuando existan hallazgos de bloqueo

  • El agente revisa todos los RP de forma predeterminada; el filtrado de rutas y ramas se puede configurar en la configuración de su espacio de agente

Uso de revisiones de código en GitLab

Requisitos previos: GitLab proyecto conectado a su espacio de agente con las revisiones automatizadas habilitadas. Para obtener instrucciones de configuración, consulte Configuración de la revisión del código y las pruebas automatizadas.

  • Las reseñas aparecen como comentarios en línea cuando las solicitudes de fusión difieren, con una nota general

  • Se configura como una regla de aprobación de solicitudes de fusión para exigir la resolución de los bloqueos detectados

  • El agente revisa todos los MR de forma predeterminada; el filtrado de rutas y ramas se puede configurar en la configuración de su espacio de agente

Uso de revisiones de código en el chat de DevOps agentes

Desde el chat del DevOps agente, puedes:

  • Solicita revisiones de cualquier rama, confirmación o ámbito de repositorio

  • Pregúntale al agente qué sabe sobre las dependencias de tu proyecto: «¿Qué bases de código interactúan con el servicio en el repositorio de pagos?»

  • Haga preguntas de seguimiento sobre hallazgos específicos

  • Solicita al agente que solucione un problema identificado

  • Consulta el gráfico de información sobre dependencias de tus repositorios conectados

Barandillas de seguridad Agentic

Las revisiones de preparación para ser liberadas incluyen barandas de seguridad integradas que previenen los comportamientos inseguros comunes de los agentes. Estas barandillas están siempre activas durante el proceso de revisión. La cobertura específica y el comportamiento de cumplimiento pueden cambiar a medida que la función evolucione. Si bien nuestro objetivo es cubrir la mayor cantidad posible de comportamientos inseguros comunes, algunos comportamientos no tendrán las correspondientes barreras.

Prevención de la exposición a las credenciales

El agente bloquea cualquier llamada a la herramienta en la que la entrada de la herramienta contenga patrones de credenciales comunes en texto plano, como AWS claves, símbolos de acceso y claves privadas.

Detección de exfiltración de archivos sensibles

El agente escanea y bloquea los comandos del shell que combinan el acceso a las rutas de archivos confidenciales con las operaciones de red, lo que evita los intentos de exfiltración de datos.

Mutativo AWS bloqueo de operaciones

El agente bloquea cualquier llamada a la AWS API que pueda modificar su infraestructura. Esto evita que el agente de revisión realice cambios en su AWS entorno durante el análisis. Read-only las operaciones (describir, obtener, enumerar) están permitidas; las operaciones mutativas están bloqueadas.

Read-only se permiten operaciones como describe_*get_*, ylist_*.

Aplicación en fase secuencial

Las fases de revisión de la preparación para el lanzamiento deben ejecutarse en secuencia. Esto garantiza una evaluación sistemática y exhaustiva y evita que las evaluaciones incompletas se salten pasos.