AWS Lambda Powertools TypeScript 解析器中的 Kinesis Firehose SQS 记录验证问题

在 AWS Lambda Powertools TypeScript 库的解析器组件中，发现了一个关于 Kinesis Firehose 事件中 SQS 记录验证的重要问题。这个问题涉及到数据完整性和错误处理机制，值得开发者特别关注。

问题背景

当使用 Powertools 解析 Kinesis Firehose 事件时，如果事件数据中包含 SQS 记录，当前的实现存在一个验证逻辑缺陷。具体来说，当传入的数据不是有效的 SQS 事件时，解析器没有正确地失败，而是将原始数据原样返回。

技术细节

在当前的实现中，解析器使用了以下验证逻辑：

const KinesisFirehoseSqsRecordSchema = KinesisFireHoseRecordBase.extend({
  data: z.string().transform((data) => {
    try {
      return SqsRecordSchema.parse(
        JSON.parse(Buffer.from(data, 'base64').toString('utf8'))
      );
    } catch (e) {
      return data;
    }
  }),
});

这段代码的问题在于，当解析失败时，它简单地返回了原始数据，而不是抛出错误或标记验证失败。这种行为可能导致下游处理逻辑接收到不符合预期的数据格式，从而引发更隐蔽的错误。

正确实现方式

修复后的实现应该如下所示：

const KinesisFirehoseSqsRecordSchema = KinesisFireHoseRecordBase.extend({
  data: z.string().transform((data, ctx) => {
    try {
      return SqsRecordSchema.parse(
        JSON.parse(Buffer.from(data, 'base64').toString('utf8'))
      );
    } catch (e) {
      ctx.addIssue({
        code: z.ZodIssueCode.custom,
        message: 'Failed to parse SQS record',
        fatal: true,
      });
      return z.NEVER;
    }
  }),
});

这个修复版本做了以下改进：

1. 当解析失败时，明确添加了一个验证问题
2. 将问题标记为 fatal（致命的）
3. 返回 z.NEVER 确保验证失败
4. 提供了清晰的错误信息

影响分析

这个修复对于以下场景尤为重要：

1. 数据完整性：确保只有符合 SQS 记录格式的数据才能通过验证
2. 错误处理：使开发者能够更早地发现和处理格式错误的数据
3. 调试体验：提供更明确的错误信息，加速问题排查

最佳实践建议

基于这个问题，我们建议开发者在处理 AWS 服务事件时：

1. 始终对输入数据进行严格验证
2. 避免静默失败，应该明确处理错误情况
3. 使用类型安全的验证库（如 Zod）来确保数据格式
4. 为验证失败提供清晰的错误信息

这个修复已经包含在 AWS Lambda Powertools TypeScript 库的最新版本中，开发者可以通过升级来获得更健壮的验证行为。