圖片來源: 

AWS

去年年底揭露的Apache Log4j漏洞令全球企業恐慌,AWS本周宣布更新程式碼檢查服務Amazon Codeguru Reviewer,方便開發人員檢查Java及Python程式中的Log4j漏洞。

Amazon Codeguru Reviewer是AWS開發工具,可協助開發人員偵測程式碼的安全漏洞並提供建議。2020年CodeGuru Reviewer推出Security Detector,可從Java與Python程式碼找出OWASP十大安全風險。去年底又增加偵測程式碼和配置文件中機密資訊的功能AWS Secrets Manager

而在這次更新中,AWS又為CodeGuru Reviewer新增2項功能。首先是加入了偵測器,以辨識Java及Python程式碼中類似去年底震驚全球的Log4Shell的日誌注入(log-injection)漏洞

AWS 指出,這些偵測器並不只針對Log4j函式庫。它不是檢查開發人員使用的函式庫版本,而是實地檢查日誌內容。這樣一來,即使未來有類似漏洞也能提早發現。

另一項功能則是新加入Java、Python偵測器函式庫(Detector Library),提供CodeGuru Reviewer檢查程式碼問題的偵測器詳細說明,包括問題程式碼的描述、嚴重性及可能影響,以及提供程式碼範例。

AWS解釋,每個偵測器都提供合規範及不合規範的程式碼範例,例如跨來源資源共用(Cross-Origin Resource Sharing,CORS)或輸入驗證不當等。但CodeGuru Reviewer使用機器學習及自動推論技術來辨識可能的問題,因此每個偵測器能找到範例以外的多種問題。有些偵測器也可協助開發人員避免以AWS工具,如AWS SDK for Java 及 AWS SDK for Python開發時的問題,如密碼憑證寫死等。

最新功能已經在有Amazon CodeGuru服務地區上線。


熱門新聞

Advertisement