AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出

今回は「AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Amazon Web Services(AWS)は米国時間2月15日、コードレビューツール「Amazon CodeGuru Reviewer」の「ディテクター」(検出機能)をアップデートし、「Log4Shell」のようなログインジェクション脆弱性を発見できるようにしたと発表した。Log4Shellは、広く普及しているJavaのログ出力ライブラリー「Apache Log4j」の脆弱性で、12月に明らかにされた。

 AWSはCodeGuru Reviewerに2つの新機能を追加した。CodeGuru Reviewは、機械学習(ML)を活用してコードレビューを自動化し、脆弱性の有無を精査したり、セキュリティ脆弱性に対処するための改善策を提示したりするツールだ。開発者がコード開発で採用しているCI/CD(継続的インテグレーション/継続的デリバリー)プロセスというコンテキストで、コードレビューの質を向上できる。例えば、開発者はGitHubやBitbucketにコードをコミットした後、コードレビュアーとしてCodeGuru Reviewerを追加できる。

 新機能で、このツールのセキュリティチェック機能が強化される。同社は2021年に「Amazon CodeGuru Reviewer Secrets Detector」を追加した。JavaやPythonのアプリケーションのソースコードや設定ファイルに、パスワードや、APIのアクセス鍵といった慎重な扱いを要する機密データがハードコーディングされているかどうかをチェックするものだ。

 今回導入された新機能は、CodeGuru Reviewerが問題の可能性を見つける際に利用するディテクターの詳細を説明する新しい「Detector Library」と、Apache Log4jの脆弱性で起こったことと同じような、ログインジェクションの脆弱性をJavaとPythonのコードで検出するための新しいディテクターだ。

 Detector Libraryには、JavaやPythonでよく見られるさまざまな脆弱性を検出するためのディテクター群が含まれている。Javaのディテクターには、Javaコード中の「認証されていないLDAPリクエスト」などがある。また、このライブラリーで、CodeGuru Reviewerのセキュリティおよびコード品質のディテクターに関する詳細な情報を把握できる。例えば、セキュリティのそれぞれの懸念に関する詳細や、アプリケーションへの影響や深刻度、リスクを緩和するための追加情報などだ。非準拠コードと準拠コードの例もある。

 CodeGuru Reviewerは問題となりそうなものを識別する上で「MLと自動推論を使用している」ため、それぞれのディテクターはその解説ページの例で示されている例のほか、さまざまな問題を検出できるとAWSは説明している。

 また、AWSはLog4Shellの問題を受け、「サニタイズされておらず、実行できる可能性のある」データを開発者がログ出力していないかどうかを調査する新たなディテクターをCodeGuru Reviewerに導入した。

 AWSは、このディテクターがそういったコードを発見した場合、「ユーザーが提供する入力は、ログ出力に先立ってサニタイズする必要がある」とし、「攻撃者はサニタイズされない入力を用いて、ログの整合性を破綻させたり、ログのエントリーをねつ造したり、ログの監視をバイパスしたりできるようになる」と説明している。

 「これらのディテクターはJavaとPythonのコードで動く。JavaではLog4jライブラリーに限られない。これらは使用しているライブラリーのバージョンを読み込んで動作するのではなく、実際にログを出力している部分をチェックして動作する。このようにして、将来的に類似の脆弱性が発生した際に保護できる」(AWS)

 新機能は、CodeGuru Reviewerが提供されている米国、欧州、アジア太平洋などの一部のAWSリージョンで利用可能になっている。Detector Libraryはドキュメンテーションの一部として無料で閲覧できる。ログインジェクションを見つける新しいディテクターには、標準的な価格が適用される。CodeGuruの価格に関するページで詳細を確認できる。

元記事: https://japan.zdnet.com/article/35183658/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
公取委、行政システム受注の「囲い込み」を調査
IT関連
2021-06-11 05:36
Google、1エクサフロップを超える性能を持つ「TPU v4」発表、Google史上最高性能のシステム :Google I/O 2021
クラウドユーザー
2021-05-20 19:52
関西電力、「Loglass 経営管理」を導入–海外グループ会社を含めた経営管理基盤を強化
IT関連
2024-03-09 03:25
Raspberry Pi、デバッグ用プローブを発売
IT関連
2023-02-22 17:27
IoT×販売網で流通全体の変革へ–Retail AIと東芝テック、協業の展望語る
IT関連
2022-10-12 19:18
セレブがウォーキングをリードしてくれるApple Fitness+の新機能
ハードウェア
2021-01-27 11:55
Casa、自社のクラウド型契約管理システムに本人確認API導入
IT関連
2021-06-08 17:50
マルコメ、経費精算SaaSで申請者の作業時間を月100時間削減
IT関連
2023-09-08 19:15
ペースメーカーをハッカーから守るため医療機器MedtronicとサイバーセキュリティのSternumが提携
IoT
2021-04-18 20:27
リモートかハイブリッドの勤務を続ける企業は71%–働き方のトレンド調査
IT関連
2022-07-07 18:46
“起こしたい人”と“起こされたい人”をマッチング モーニングコールでつながる音声アプリが3月に登場
ネットトピック
2021-02-09 07:43
日本企業のニーズに寄り添う–サイオステクノロジー、国産SaaSの強みを解説
IT関連
2023-01-26 20:40
ビデオ会議でも活躍する画面キャプチャーソフト「Aiseesoft スクリーンレコーダー for Mac」を試す
イラスト・デザイン
2021-01-13 05:59
スワイプ1つで老眼鏡に変わるサングラス、イスラエルの新興企業が開発
くらテク
2021-07-02 06:28