AWS 更新程式碼檢查服務 Amazon Codeguru Reviewer,透過實地檢查日誌內容,協助偵測 Java 及 Python 程式中,方便開發人員檢查 Java 及 Python 程式中的 Log4j 漏洞。
Amazon Codeguru Reviewer 是 AWS 開發工具,可協助開發人員偵測程式碼的安全漏洞並提供建議。2020年CodeGuru Reviewer 推出 Security Detector,可從 Java 與 Python 程式碼找出 OWASP 十大安全風險。去年底又增加偵測程式碼和配置文件中機密資訊的功能 AWS Secrets Manager。
在今次更新中,AWS 又為 CodeGuru Reviewer 新增 2 項功能。首先加入偵測器,辨識 Java 及 Python 程式碼中類似去年底震驚全球的 Log4Shell 的日誌注入(log-injection)漏洞。這些偵測器並不只針對 Log4j 函式庫。它不是檢查開發人員使用的函式庫版本,而是實地檢查日誌內容,即使未來有類似漏洞也能提早發現。
另一項功能是新加入Java、Python偵測器函式庫(Detector Library),提供CodeGuru Reviewer檢查程式碼問題的偵測器詳細說明,包括問題程式碼的描述、嚴重性及可能影響,以及提供程式碼範例。
每個偵測器都提供合規範及不合規範的程式碼範例,例如跨來源資源共用(Cross-Origin Resource Sharing,CORS)或輸入驗證不當等。但 CodeGuru Reviewer 使用機械學習和自動推論技術來辨識可能的問題,因此每個偵測器能找到範例以外的多種問題。有些偵測器也可協助開發人員避免以 AWS 工具,如 AWS SDK for Java 及 AWS SDK for Python 開發時的問題,例如密碼憑證寫死等。
最新功能已經在有 Amazon
CodeGuru 服務地區上線。
沒有留言:
發佈留言