AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出

今回は「AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Amazon Web Services(AWS)は米国時間2月15日、コードレビューツール「Amazon CodeGuru Reviewer」の「ディテクター」(検出機能)をアップデートし、「Log4Shell」のようなログインジェクション脆弱性を発見できるようにしたと発表した。Log4Shellは、広く普及しているJavaのログ出力ライブラリー「Apache Log4j」の脆弱性で、12月に明らかにされた。

 AWSはCodeGuru Reviewerに2つの新機能を追加した。CodeGuru Reviewは、機械学習(ML)を活用してコードレビューを自動化し、脆弱性の有無を精査したり、セキュリティ脆弱性に対処するための改善策を提示したりするツールだ。開発者がコード開発で採用しているCI/CD(継続的インテグレーション/継続的デリバリー)プロセスというコンテキストで、コードレビューの質を向上できる。例えば、開発者はGitHubやBitbucketにコードをコミットした後、コードレビュアーとしてCodeGuru Reviewerを追加できる。

 新機能で、このツールのセキュリティチェック機能が強化される。同社は2021年に「Amazon CodeGuru Reviewer Secrets Detector」を追加した。JavaやPythonのアプリケーションのソースコードや設定ファイルに、パスワードや、APIのアクセス鍵といった慎重な扱いを要する機密データがハードコーディングされているかどうかをチェックするものだ。

 今回導入された新機能は、CodeGuru Reviewerが問題の可能性を見つける際に利用するディテクターの詳細を説明する新しい「Detector Library」と、Apache Log4jの脆弱性で起こったことと同じような、ログインジェクションの脆弱性をJavaとPythonのコードで検出するための新しいディテクターだ。

 Detector Libraryには、JavaやPythonでよく見られるさまざまな脆弱性を検出するためのディテクター群が含まれている。Javaのディテクターには、Javaコード中の「認証されていないLDAPリクエスト」などがある。また、このライブラリーで、CodeGuru Reviewerのセキュリティおよびコード品質のディテクターに関する詳細な情報を把握できる。例えば、セキュリティのそれぞれの懸念に関する詳細や、アプリケーションへの影響や深刻度、リスクを緩和するための追加情報などだ。非準拠コードと準拠コードの例もある。

 CodeGuru Reviewerは問題となりそうなものを識別する上で「MLと自動推論を使用している」ため、それぞれのディテクターはその解説ページの例で示されている例のほか、さまざまな問題を検出できるとAWSは説明している。

 また、AWSはLog4Shellの問題を受け、「サニタイズされておらず、実行できる可能性のある」データを開発者がログ出力していないかどうかを調査する新たなディテクターをCodeGuru Reviewerに導入した。

 AWSは、このディテクターがそういったコードを発見した場合、「ユーザーが提供する入力は、ログ出力に先立ってサニタイズする必要がある」とし、「攻撃者はサニタイズされない入力を用いて、ログの整合性を破綻させたり、ログのエントリーをねつ造したり、ログの監視をバイパスしたりできるようになる」と説明している。

 「これらのディテクターはJavaとPythonのコードで動く。JavaではLog4jライブラリーに限られない。これらは使用しているライブラリーのバージョンを読み込んで動作するのではなく、実際にログを出力している部分をチェックして動作する。このようにして、将来的に類似の脆弱性が発生した際に保護できる」(AWS)

 新機能は、CodeGuru Reviewerが提供されている米国、欧州、アジア太平洋などの一部のAWSリージョンで利用可能になっている。Detector Libraryはドキュメンテーションの一部として無料で閲覧できる。ログインジェクションを見つける新しいディテクターには、標準的な価格が適用される。CodeGuruの価格に関するページで詳細を確認できる。

元記事: https://japan.zdnet.com/article/35183658/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
中京大、職員の業務に生成AI活用–学生の面接対策などで改善確認
IT関連
2024-06-22 21:09
シェア買いアプリ「カウシェ」、シェア買い成立に必要な人数を事業者が設定できる「大人数シェア買い機能」α版追加
IT関連
2022-02-26 08:45
エレコム製ルーターに脆弱性、「ウマ娘」はGII以下で体操服……7月6日のITトレンドをサクッとおさらい :ほぼ日刊ITトレンドワード
ネットトピック
2021-07-07 18:58
Snapchatが「家に着いた?」のかわりになるリアルタイムの位置情報共有機能を導入
IT関連
2022-02-21 19:00
竹中工務店、新オフィスビルでサイバーセキュリティ対策サービスを運用
IT関連
2022-12-04 08:19
Amazon上のFBA店を大量に買い漁るThrasioがさらに約790億円調達
ネットサービス
2021-02-17 07:09
静的サイトジェネレータ「Astro 3.5」正式リリース。多言語対応サイトのサポート、大規模サイトのビルド時間を大幅に改善など新機能
HTML/CSS
2023-11-14 06:37
その企業にとって価値の高いユーザーフローをノーコードで作れる豪Upflowyが約4.6億円調達
IT関連
2022-02-23 16:13
スピアフィッシング攻撃の新たなトレンド–バラクーダ、調査結果を公開
IT関連
2022-04-15 09:33
富士通とJR貨物、鉄道車両の管理システムを共同展開
IT関連
2024-03-14 05:13
Perfume、初のNFTアート販売 メンバーの振り付けを3Dデータ化
企業・業界動向
2021-06-12 03:03
EC界の寵児マーク・ローリー氏がJet.comを3115億円で売却し4年余りでWalmart退社
VC / エンジェル
2021-01-19 19:52
IBMと東大ら5大学、日米韓で4万人の学生に量子教育を推進
IT関連
2023-12-16 18:22
2024年に向けたテクノロジー上位トレンドの読み方–ガートナーが解説
IT関連
2023-11-15 00:13