概要
AWS CDK v2.178.2 がリリースされました。このリリースは、CDK CLIのセキュリティ改善を含むバグ修正リリースです。プラグインから取得した認証情報がログに出力されないようになりました。
バグ修正
cli: プラグインから更新された認証情報を出力しないように修正
背景
過去の変更(#32354)で、プラグインによって提供される認証情報が stderr にログ出力されるようになっていました。さらに、#32708 の変更により、CI環境では stdout にログ出力されるようになっていました。
これにより、機密情報である認証情報がログに露出するセキュリティリスクが生じていました。
修正内容
このリリースでは、プラグインから取得した認証情報のログ出力を完全に削除しました。
影響範囲:
- CDK CLIで認証プラグインを使用しているユーザー
- CI/CD環境でCDKを実行しているユーザー
変更ファイル:
packages/aws-cdk/lib/api/aws-auth/credential-plugins.ts
セキュリティへの影響: この修正により、認証情報がログに漏洩するリスクが解消されます。特にCI/CD環境のログが保存・共有される場合、このリスクは重大でした。
影響を受けるユーザー
以下の環境でCDKを使用している場合、このバグ修正の恩恵を受けます:
- カスタム認証プラグインを使用している環境
- CI/CD環境(GitHub Actions、GitLab CI、Jenkins など)
- ログを長期保存・共有している環境
アクションは不要
この修正は自動的に適用されるため、ユーザー側でのアクションは不要です。v2.178.2にアップグレードするだけで、認証情報がログに出力されなくなります。
# CDKのアップグレード
npm install -g aws-cdk@2.178.2
# または、プロジェクトごとのアップグレード
npm install aws-cdk@2.178.2Alpha モジュール (2.178.2-alpha.0)
このリリースには、alphaモジュールの変更は含まれていません。
まとめ
AWS CDK v2.178.2 は、セキュリティを向上させる重要なバグ修正リリースです。特に認証プラグインを使用している環境では、認証情報がログに漏洩するリスクが解消されるため、早期のアップグレードを推奨します。
新機能の追加はありませんが、セキュリティの観点から重要な修正が含まれているため、すべてのユーザーにアップグレードをお勧めします。