Amazon CodeGuru Reviewerは、機械学習を活用してコード(JavaとPython)のセキュリティ上の欠陥を検出し、コードの品質向上のための提案をする開発者ツールである。最近、AWSはツールに2つの新機能を導入した。新しいDetector Libraryと、ログインジェクション脆弱性用のセキュリティ検出器である。
2020年7月に一般提供が開始されたAmazon CodeGuruは、Amazon CodeGuru ProfilerとAmazon CodeGuru Reviewerで構成される。後者では、GithubでのCI/CD統合、およびコード内のハードコードされたシークレットの検出に関するいくつかの更新があった。さらに、新しいDetector Libraryとログインジェクション脆弱性用のセキュリティ検出器により、CodeGuruコンポーネントではハードコードされた開発者コード向けに多くの機能が追加された。
CodeGuru Reviewer Detector Libraryは、CodeGuru Reviewerのセキュリティおよびコード品質検出器に関する詳細情報を含むリソースである。Amazon CodeGuru Reviewerの新機能に関するAWS Newsブログの投稿で、AWSのチーフエバンジェリスト(EMEA)のDanilo Poccia氏は次のように説明している。
これらの検出器は、AWSで安全で効率的なアプリケーションを構築する上で役立ちます。Detector Libraryには、CodeGuru Reviewerのセキュリティおよびコード品質検出器に関する詳細情報(説明、重要度とアプリケーションへの潜在的な影響、リスクの軽減に役立つ追加情報など)があります。
Detector Libraryの各検出ページには、検出器の説明、非準拠および準拠のサンプルコードスニペット(JavaおよびPythonリポジトリ)、重要度、他に開発者がリスクを軽減するのに役立つ情報(CWE番号など)が含まれている。
最近のApache Log4jの脆弱性に続いて、AWSはCodeGuru Reviewerに新しい検出器を追加した。これは、サニタイズされておらず、実行可能である可能性のあるものを開発者がログに記録しているかどうかをチェックする。これらの検出器は「CWE-117:不適切なログ出力の中和」で記述されている問題に対処する。さらに、検出器はJavaおよびPythonコードで動作し、JavaではLog4jライブラリに限定されない。
Constellation Research Inc.の主任アナリスト兼副社長であるHolger Mueller氏は、InfoQに次のように語っている。
コーディングは、コードを記述してコンパイラエラーを待つという従来の方法ではなくなりました。現在では、IDEは、開発者がコーディングしている間、開発者の肩越しに見ているのです。重要な領域の1つは、コードをより安全にすることです。これは、AWSが最新バージョンのCodeGuruで行っていることです。
新たなAmazon CodeGuru Reviewerの機能は、Amazon CodeGuruを提供するすべてのAWSリージョンで利用できる。Amazon CodeGuru Reviewerの価格は、価格ページで確認できる。