AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出

今回は「AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Amazon Web Services(AWS)は米国時間2月15日、コードレビューツール「Amazon CodeGuru Reviewer」の「ディテクター」(検出機能)をアップデートし、「Log4Shell」のようなログインジェクション脆弱性を発見できるようにしたと発表した。Log4Shellは、広く普及しているJavaのログ出力ライブラリー「Apache Log4j」の脆弱性で、12月に明らかにされた。

 AWSはCodeGuru Reviewerに2つの新機能を追加した。CodeGuru Reviewは、機械学習(ML)を活用してコードレビューを自動化し、脆弱性の有無を精査したり、セキュリティ脆弱性に対処するための改善策を提示したりするツールだ。開発者がコード開発で採用しているCI/CD(継続的インテグレーション/継続的デリバリー)プロセスというコンテキストで、コードレビューの質を向上できる。例えば、開発者はGitHubやBitbucketにコードをコミットした後、コードレビュアーとしてCodeGuru Reviewerを追加できる。

 新機能で、このツールのセキュリティチェック機能が強化される。同社は2021年に「Amazon CodeGuru Reviewer Secrets Detector」を追加した。JavaやPythonのアプリケーションのソースコードや設定ファイルに、パスワードや、APIのアクセス鍵といった慎重な扱いを要する機密データがハードコーディングされているかどうかをチェックするものだ。

 今回導入された新機能は、CodeGuru Reviewerが問題の可能性を見つける際に利用するディテクターの詳細を説明する新しい「Detector Library」と、Apache Log4jの脆弱性で起こったことと同じような、ログインジェクションの脆弱性をJavaとPythonのコードで検出するための新しいディテクターだ。

 Detector Libraryには、JavaやPythonでよく見られるさまざまな脆弱性を検出するためのディテクター群が含まれている。Javaのディテクターには、Javaコード中の「認証されていないLDAPリクエスト」などがある。また、このライブラリーで、CodeGuru Reviewerのセキュリティおよびコード品質のディテクターに関する詳細な情報を把握できる。例えば、セキュリティのそれぞれの懸念に関する詳細や、アプリケーションへの影響や深刻度、リスクを緩和するための追加情報などだ。非準拠コードと準拠コードの例もある。

 CodeGuru Reviewerは問題となりそうなものを識別する上で「MLと自動推論を使用している」ため、それぞれのディテクターはその解説ページの例で示されている例のほか、さまざまな問題を検出できるとAWSは説明している。

 また、AWSはLog4Shellの問題を受け、「サニタイズされておらず、実行できる可能性のある」データを開発者がログ出力していないかどうかを調査する新たなディテクターをCodeGuru Reviewerに導入した。

 AWSは、このディテクターがそういったコードを発見した場合、「ユーザーが提供する入力は、ログ出力に先立ってサニタイズする必要がある」とし、「攻撃者はサニタイズされない入力を用いて、ログの整合性を破綻させたり、ログのエントリーをねつ造したり、ログの監視をバイパスしたりできるようになる」と説明している。

 「これらのディテクターはJavaとPythonのコードで動く。JavaではLog4jライブラリーに限られない。これらは使用しているライブラリーのバージョンを読み込んで動作するのではなく、実際にログを出力している部分をチェックして動作する。このようにして、将来的に類似の脆弱性が発生した際に保護できる」(AWS)

 新機能は、CodeGuru Reviewerが提供されている米国、欧州、アジア太平洋などの一部のAWSリージョンで利用可能になっている。Detector Libraryはドキュメンテーションの一部として無料で閲覧できる。ログインジェクションを見つける新しいディテクターには、標準的な価格が適用される。CodeGuruの価格に関するページで詳細を確認できる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
パブリッククラウド移行進めるイスラエル国防省、いかにデータを保護するか
IT関連
2022-03-15 21:16
中国のミニプログラム普及で増える不正行為と闇市
IT関連
2022-06-23 02:26
Ruby on Rails、今後は6カ月ごとに新機能を含む新バージョンが登場、セキュリティ修正はリリース後2年間提供。新しいメンテナンスポリシー発表
Ruby
2024-10-22 22:57
チャットボットアプリの開発をもっと簡単にするツールのBotpressがシリーズAで16.2億円調達
ネットサービス
2021-04-30 12:02
北國FHD、BIPROGYらと次世代地域デジタル基盤構築に向けたプロジェクト検討
IT関連
2023-01-19 22:26
フェイスブックがFTCのリナ・カーン委員長を独禁法違反訴訟から除外するよう要求
ネットサービス
2021-07-16 20:08
スマホが“英会話講師”に AIと会話練習するアプリ イーオン、LGグループと開発
ロボット・AI
2021-05-18 02:29
中国のフィンテックWalletsClubは世界で使える「eウォレットのためのVisa」を目指す
IT関連
2021-05-24 22:06
ベイシア、SaaS型の製品マスターサービスを導入–ネットスーパーの商品情報を整理
IT関連
2022-07-09 13:01
AWS、「Amazon Bedrock」の基盤モデルを評価する新機能を提供
IT関連
2024-04-26 07:32
UberがドライバーにRosetta Stoneの語学レッスンを無料で提供へ
シェアリングエコノミー
2021-07-31 15:45
セキュリティバグが見つかったZoomの米政府機関使用許可発行に用いられた資料の提供を要求するも、GSAは拒否
セキュリティ
2021-07-27 09:39
スマートウォッチで業務現場の熱中症や転倒・転落を予防–ユビテックが機能強化
IT関連
2022-07-12 08:27
Microsoft、Edgeのバージョン89で起動時間短縮や垂直タブなどの新機能追加
アプリ・Web
2021-03-06 17:32