Nowość dla Amazon CodeGuru Reviewer — Detector Library and Security Detectors for Log-Injection Flaws

21 lutego 2022

Amazon CodeGuru Reviewer to narzędzie dla programistów, które wykrywa luki w zabezpieczeniach w Twoim kodzie i dostarcza inteligentne zalecenia w celu poprawy jakości kodu.

Na przykład CodeGuru Reviewer wprowadził detektory bezpieczeństwa dla kodu Java i Python, aby zidentyfikować zagrożenia bezpieczeństwa z dziesięciu najważniejszych kategorii Open Web Application Security Project (OWASP) i postępować zgodnie z najlepszymi praktykami bezpieczeństwa dla interfejsów API AWS i popularnych bibliotek kryptograficznych.

Na re:Invent, CodeGuru Reviewer wprowadził wykrywacz sekretów, aby identyfikować zakodowane na stałe sekrety i sugerować kroki naprawcze, aby zabezpieczyć Twoje sekrety za pomocą AWS Secrets Manager. Te możliwości ułatwiają znajdowanie i usuwanie problemów z zabezpieczeniami zanim dokonasz wdrożenia.

Dziś, twórcy z radością przedstawiają nowe funkcje CodeGuru Reviewer:

  • Nowa biblioteka detektorów (Detector Library) szczegółowo opisuje detektory używane przez CodeGuru Reviewer podczas wyszukiwania możliwych defektów i zawiera próbki kodu zarówno dla Javy, jak i Pythona;
  • Wprowadzono nowe detektory bezpieczeństwa do wykrywania iniekcji błędów logów (log-injection flaws) w kodzie Java i Python, podobnie jak w przypadku niedawnej luki Apache Log4j, którą opisano na blogu.

Pora przyjrzeć się nowym funkcjom z bliska.

Korzystanie z biblioteki detektorów

Aby pomóc Ci lepiej zrozumieć, których detektorów CodeGuru Reviewer używa do przeglądania Twojego kodu, udostępniono Bibliotekę detektorów, w której możesz znaleźć szczegółowe informacje i próbki kodu.

Te detektory pomagają tworzyć bezpieczne i wydajne aplikacje na AWS. W Bibliotece detektorów można znaleźć szczegółowe informacje na temat detektorów bezpieczeństwa i jakości kodu CodeGuru Reviewer, w tym opisy, ich wagę i potencjalny wpływ na twoją aplikację oraz dodatkowe informacje, które pomogą Ci zmniejszyć ryzyko.

Należy pamiętać, że każdy detektor szuka szerokiego zakresu defektów kodu. Do każdego detektora dołączono jeden niezgodny i zgodny przykład kodu. Jednak CodeGuru wykorzystuje uczenie maszynowe i automatyczne wnioskowanie w celu zidentyfikowania możliwych problemów. Z tego powodu każdy detektor może znaleźć szereg defektów oprócz wyraźnego przykładu kodu pokazanego na stronie opisu detektora.

Pora przyjrzeć się kilku detektorom. Jeden detektor szuka niezabezpieczonych zasad udostępniania zasobów między źródłami (CORS), które są zbyt liberalne i mogą prowadzić do obciążenia zawartości z niezaufanych lub złośliwych źródeł.

Nowość dla Amazon CodeGuru Reviewer — Detector Library and Security Detectors for Log-Injection Flaws

Kolejny detektor sprawdza, czy nieprawidłowa walidacja danych wejściowych może umożliwić ataki i prowadzić do niepożądanych zachowań.

Nowość dla Amazon CodeGuru Reviewer — Detector Library and Security Detectors for Log-Injection Flaws

Określone detektory ułatwiają korzystanie w aplikacjach z AWS SDK for Java i AWS SDK for Python (Boto3). Na przykład istnieją detektory, które mogą wykrywać zakodowane dane uwierzytelniające, takie jak hasła i klucze dostępu, lub nieefektywne sprawdzanie zasobów AWS.

Nowe detektory dla Log-Injection Flaws

W związku z niedawną luką Apache Log4j wprowadzono do CodeGuru Reviewer nowe detektory, które sprawdzają, czy rejestrujesz coś, co nie jest oczyszczone i możliwie wykonywalne. Detektory te obejmują problem opisany w CWE-117: Niewłaściwa neutralizacja wyjścia dla logów.

Te detektory działają z kodem Java i Python, a w przypadku Javy nie ograniczają się do biblioteki Log4j. Nie działają na podstawie wersji używanych bibliotek, ale sprawdzają, co faktycznie rejestrujesz. W ten sposób mogą Cię chronić, jeśli podobne błędy wystąpią w przyszłości.

Nowość dla Amazon CodeGuru Reviewer — Detector Library and Security Detectors for Log-Injection Flaws

Zgodnie z tymi detektorami, wejścia wprowadzone przez użytkownika muszą zostać oczyszczone przed ich zarejestrowaniem. Pozwala to uniknąć sytuacji, w której atakujący może użyć tych danych wejściowych do złamania integralności dzienników, fałszowania wpisów w dzienniku lub ominięcia monitorów dzienników.

Dostępność i cena

Nowe funkcje są już dostępne we wszystkich regionach AWS, w których oferowany jest Amazon CodeGuru. Aby uzyskać więcej informacji, zobacz listę usług regionalnych AWS.

Biblioteka detektorów jest dostępna bezpłatnie jako część dokumentacji. W przypadku nowych detektorów szukających log-injection flwas obowiązują standardowe ceny. Zobacz stronę z cennikiem CodeGuru, aby uzyskać więcej informacji.

źródło:AWS

 

 

Case Studies
Migracja Rapid Delivery Analytics do chmury AWS, współfinansowana z programu Startup Migrate Asses
Migracja infrastruktury Rapid Delivery Analytics do chmury AWS, współfinansowana z programu StartUp Migrate Asses
7 Aut x Budda
Testy penetracyjne, ochrona anty-DDoS i opieka administracyjna dla organizatora jednej z największych loterii w polskim Internecie, „7 Aut x Budda”
Referencje

Bardzo istotną zaletą jest szybkie i fachowe wsparcie techniczne Hostersów, którzy wiedzą, że każda chwila przerwy technicznej w dostępie do serwisów WWW oznacza poważny uszczerbek na wizerunku każdej firmy, zwłaszcza instytucji państwowej, jaką jest Instytut Pamięci Narodowej.

Sebastian Górkiewicz
Kierownik Samodzielnej Sekcji ds. Serwisów Internetowych
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.