AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出

今回は「AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Amazon Web Services(AWS)は米国時間2月15日、コードレビューツール「Amazon CodeGuru Reviewer」の「ディテクター」(検出機能)をアップデートし、「Log4Shell」のようなログインジェクション脆弱性を発見できるようにしたと発表した。Log4Shellは、広く普及しているJavaのログ出力ライブラリー「Apache Log4j」の脆弱性で、12月に明らかにされた。

 AWSはCodeGuru Reviewerに2つの新機能を追加した。CodeGuru Reviewは、機械学習(ML)を活用してコードレビューを自動化し、脆弱性の有無を精査したり、セキュリティ脆弱性に対処するための改善策を提示したりするツールだ。開発者がコード開発で採用しているCI/CD(継続的インテグレーション/継続的デリバリー)プロセスというコンテキストで、コードレビューの質を向上できる。例えば、開発者はGitHubやBitbucketにコードをコミットした後、コードレビュアーとしてCodeGuru Reviewerを追加できる。

 新機能で、このツールのセキュリティチェック機能が強化される。同社は2021年に「Amazon CodeGuru Reviewer Secrets Detector」を追加した。JavaやPythonのアプリケーションのソースコードや設定ファイルに、パスワードや、APIのアクセス鍵といった慎重な扱いを要する機密データがハードコーディングされているかどうかをチェックするものだ。

 今回導入された新機能は、CodeGuru Reviewerが問題の可能性を見つける際に利用するディテクターの詳細を説明する新しい「Detector Library」と、Apache Log4jの脆弱性で起こったことと同じような、ログインジェクションの脆弱性をJavaとPythonのコードで検出するための新しいディテクターだ。

 Detector Libraryには、JavaやPythonでよく見られるさまざまな脆弱性を検出するためのディテクター群が含まれている。Javaのディテクターには、Javaコード中の「認証されていないLDAPリクエスト」などがある。また、このライブラリーで、CodeGuru Reviewerのセキュリティおよびコード品質のディテクターに関する詳細な情報を把握できる。例えば、セキュリティのそれぞれの懸念に関する詳細や、アプリケーションへの影響や深刻度、リスクを緩和するための追加情報などだ。非準拠コードと準拠コードの例もある。

 CodeGuru Reviewerは問題となりそうなものを識別する上で「MLと自動推論を使用している」ため、それぞれのディテクターはその解説ページの例で示されている例のほか、さまざまな問題を検出できるとAWSは説明している。

 また、AWSはLog4Shellの問題を受け、「サニタイズされておらず、実行できる可能性のある」データを開発者がログ出力していないかどうかを調査する新たなディテクターをCodeGuru Reviewerに導入した。

 AWSは、このディテクターがそういったコードを発見した場合、「ユーザーが提供する入力は、ログ出力に先立ってサニタイズする必要がある」とし、「攻撃者はサニタイズされない入力を用いて、ログの整合性を破綻させたり、ログのエントリーをねつ造したり、ログの監視をバイパスしたりできるようになる」と説明している。

 「これらのディテクターはJavaとPythonのコードで動く。JavaではLog4jライブラリーに限られない。これらは使用しているライブラリーのバージョンを読み込んで動作するのではなく、実際にログを出力している部分をチェックして動作する。このようにして、将来的に類似の脆弱性が発生した際に保護できる」(AWS)

 新機能は、CodeGuru Reviewerが提供されている米国、欧州、アジア太平洋などの一部のAWSリージョンで利用可能になっている。Detector Libraryはドキュメンテーションの一部として無料で閲覧できる。ログインジェクションを見つける新しいディテクターには、標準的な価格が適用される。CodeGuruの価格に関するページで詳細を確認できる。

元記事: https://japan.zdnet.com/article/35183658/
IT関連 #ソフトウェア

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
さよならVMware/高速なPython互換「Mojo」Mac版登場/Webアプリのテスト自動化サービス「Microsoft Playwright Testing」ほか、2023年10月の人気記事
編集後記
2023-11-06 18:04
ハウスメイト、基幹業務システムを刷新–ハードウェアの保守期限をきっかけに
IT関連
2023-08-24 02:07
建ロボテックが鉄筋結束作業を行う「全自動鉄筋結束トモロボ」を開発、年内量産開始を目指す
ロボティクス
2021-07-13 16:55
富士通とSAP、「RISE with SAP」で協業強化–日本企業で初めてのプレミアムサプライヤーに
IT関連
2023-09-21 18:37
日立ら4社、デジタルな仕組みを用いた環境債の発行で協業
IT関連
2022-04-20 21:03
メタバースがECや医療診断など各分野で本格普及の予感
IT関連
2022-01-19 05:13
WebAssemblyアプリ開発で最も使われている言語は3年連続で「Rust」、Webアプリ開発が最多、欲しい機能はスレッド。The State of WebAssembly 2023
JavaScript
2023-10-27 22:55
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]
PR
2023-05-25 11:44
DeepL、日本法人「DeepL Japan」設立–日本企業との取引を迅速化
IT関連
2023-07-05 00:54
人工知能システムの市場規模が2000億円を突破–IDC予測
IT関連
2021-06-03 11:24
新薬発見もクラウドやAIで寄与–マイクロソフトがヘルスケア事例を説明
IT関連
2022-10-25 00:50
売り切り型のサブスク「SaaS Plus a Box」とは–特徴と可能性
IT関連
2023-12-26 03:01
歩きポケモンしてるとGoogleさんに叱られる :Googleさん(1/3 ページ)
トップニュース
2021-04-19 21:29
Chromeブラウザの更新サイクルが6週間から4週間に短縮へ
アプリ・Web
2021-03-06 09:58