AWS lança Continuum: segurança automatizada de código em tempo de máquina com validação em sandbox

O Continuum não é só mais um scanner de código: é uma mudança estrutural na governança de segurança em nuvem. Ele opera como um 'cérebro operacional' que conecta contexto de negócios, prioridades, SLAs, dados sensíveis, com infraestrutura real (IAM, VPC, ECS, Lambda) e código-fonte, criando um grafo unificado para priorizar riscos com base no impacto concreto, não apenas na gravidade CVE. Isso resolve o gargalo crônico do DevSecOps: 73% das vulnerabilidades encontradas em ambientes AWS não são corrigidas por falta de contexto operacional, segundo pesquisa da Gartner de maio/2026.

A arquitetura multi-agente já testada no AWS Security Agent (GA desde 31/03) agora se torna o núcleo do Continuum. Mas a diferença é decisiva: enquanto o Security Agent faz testes de penetração autônomos sob demanda, o Continuum atua continuamente no fluxo de entrega, integrado ao CI/CD via MCP Server (GA desde 08/05), validando exploração em sandbox *antes* do merge, com mitigação reversível *durante* o deploy e correção durável *após* aprovação humana. É menos um novo serviço, mais uma camada de decisão estratégica sobre risco, com guardrails definidos por SREs e CISOs, não por devs.

O que era isolado agora é contínuo. Em 31/03, o Security Agent era um agente de penetração autônomo. Em 20/05, passou a analisar repositórios inteiros. Em 08/06, o DevOps Agent começou a avaliar releases antes da produção. O Continuum, lançado em 19/06, funde essas três linhas em um único ciclo fechado: descoberta → priorização contextual → validação em sandbox → mitigação reversível → correção no CI/CD. A grande virada? A automação deixa de ser pontual (um teste, uma varredura) e passa a ser orquestrada por política, com visibilidade de blast radius e rollback embutidos, algo ausente nas versões anteriores.

Para equipes de TI corporativa, o Continuum reduz o tempo médio de remediação de vulnerabilidades críticas de 14 dias para menos de 4 horas, sem exigir novos pipelines ou ferramentas. Isso impacta diretamente compliance (LGPD, PCI-DSS, ISO 27001), pois cada mitigação reversível gera evidência auditável em tempo real. Para arquitetos de nuvem, ele transforma threat modeling em processo contínuo: o módulo Continuum threat modeling (preview) gera modelos STRIDE automaticamente a partir de código ou docs de design, alimentando o grafo de contexto usado na priorização. E para finanças de TI, o modelo de pagamento conforme o uso evita custos fixos de licenças de SAST/DAST tradicionais, mas exige revisão de Savings Plans existentes, já que o Continuum consome créditos de MCP e compute dedicado.