AWS程序代码自动审查服务Amazon CodeGuru加入两项新功能,除了与GitHub Actions集成,使得用户可以使用GitHub Actions,在构建过程触发程序代码品质和安全性分析外,还提供20种新的Java检测器,协助开发者找出更多Java程序的安全性漏洞,并且编写符合AWS最佳实践的程序代码。
CodeGuru Reviewer可让开发者使用AWS控制台、开发包和CLI工具,检测Java和Python应用程序中,难以发现的缺陷和bug。CodeGuru Reviewer现在提供的这项最新CI/CD功能,可以让开发团队在推送新程序代码的时候,于开发周期早期就找出安全漏洞,CodeGuru Reviewer集成开发者常用的程序代码存储库服务GitHub,在程序代码拉取请求审查阶段,协助审查者把关程序代码,所有的CodeGuru的建议都可成为拉取请求评论,有助于开发者解决程序代码中存在的问题。
Amazon CodeGuru的另一个更新,则是加入了新的Java安全检测器。AWS在去年底的时候,在CodeGuru Reviewer加入安全检测器,协助开发者找出并且修复Java应用程序中的潜在安全问题,官方提到,这些检测器都是利用机器学习和自动推理技术构建,不只使用超过10万个Amazon和开源程序代码库训练,其中也包含了AWS应用程序安全团队的专业知识。
这些安全检测器可以从日志记录、异常处理,和密码处理方式,找出潜在的敏感信息或是凭证泄露,而且也能发现多种网页应用程序漏洞,像是指令注入、SQL注入、路径走访和XSS等。而新的Java安全检测器,能够识别Java Servlet API,和例如Spring等网页框架的安全问题,其他新的检测器还可以协助用户在使用S3、IAM、Lambda等服务或是公用程序时,能够创建安全最佳实践。
目前CI/CD集成功能以及Java侦测器都已经上线可以使用,用户不需要付出额外的费用,而使用到S3服务时,则会视存储的构件以及审查程序代码的频率来估算费用。