|
Amazon CodeGuru Reviewer es una herramienta para desarrolladores que detecta seguridad vulnerabilidades en su código y proporciona recomendaciones inteligentes para mejorar calidad del código. Por ejemplo, CodeGuru Reviewer introdujo detectores de seguridad para código Java y Python para identificar los riesgos de seguridad del las diez categorías principales del Proyecto de seguridad de aplicaciones web abiertas (OWASP) y siga las mejores prácticas de seguridad para las API de AWS y las bibliotecas criptográficas comunes. En re:Invent, CodeGuru Reviewer presentó un detector de secretos para identificar secretos codificados y sugerir pasos de remediación para proteger sus secretos con AWS Secrets Manager. Estas capacidades lo ayudan a encontrar y solucionar problemas de seguridad antes de implementar.
Hoy, me complace compartir dos nuevas características de CodeGuru Reviewer:
- Una nueva biblioteca de detectores describe en detalle la detectores que CodeGuru Reviewer usa cuando busca posibles defectos e incluye ejemplos de código para Java y Python.
- Se han introducido nuevos detectores de seguridad para detectar defectos de inyección de registro en código Java y Python, similar a lo que sucedió con el reciente apache log4j vulnerabilidad que describimos en esta publicación de blog.
Veamos estas nuevas características con más detalle.
Uso de la biblioteca de detectores
Para ayudarlo a comprender más claramente qué detectores usa CodeGuru Reviewer para revisar su código, ahora compartimos una biblioteca de detectores donde puede encontrar información detallada y ejemplos de código.
Estos detectores lo ayudan a crear aplicaciones seguras y eficientes en AWS. En la Biblioteca de detectores, puede encontrar información detallada sobre los detectores de seguridad y calidad del código de CodeGuru Reviewer, incluidas descripciones, su gravedad y el impacto potencial en su aplicación, e información adicional que lo ayuda a mitigar los riesgos.
Tenga en cuenta que cada detector busca una amplia gama de defectos de código. Incluimos un ejemplo de código no conforme y conforme para cada detector. Sin embargo, CodeGuru utiliza el aprendizaje automático y el razonamiento automatizado para identificar posibles problemas. Por esta razón, cada detector puede encontrar una variedad de defectos además del ejemplo de código explícito que se muestra en la página de descripción del detector.
Echemos un vistazo a algunos detectores. Un detector busca políticas inseguras de uso compartido de recursos de origen cruzado (CORS) que son demasiado permisivas y pueden conducir a la carga de contenido de fuentes no confiables o maliciosas.
Otro detector verifica la validación de entrada incorrecta que puede permitir ataques y conducir a un comportamiento no deseado.
Los detectores específicos lo ayudan a usar AWS SDK para Java y AWS SDK para Python (Boto3) en sus aplicaciones. Por ejemplo, hay detectores que pueden detectar credenciales codificadas, como contraseñas y claves de acceso, o sondeos ineficientes de los recursos de AWS.
Nuevos detectores para fallas de inyección de registro
Siguiendo la reciente apache log4j vulnerabilidad, introdujimos en CodeGuru Reviewer nuevos detectores que verifican si está registrando algo que no está desinfectado y posiblemente ejecutable. Estos detectores cubren el problema descrito en CWE-117: Neutralización de salida incorrecta para registros.
Estos detectores funcionan con código Java y Python y, para Java, no se limitan a la biblioteca Log4j. No funcionan mirando la versión de las bibliotecas que usa, sino que verifican lo que realmente está registrando. De esta manera, pueden protegerlo si ocurren errores similares en el futuro.
Después de estos detectores, las entradas proporcionadas por el usuario deben desinfectarse antes de que se registren. Esto evita que un atacante pueda usar esta entrada para romper la integridad de sus registros, falsificar entradas de registro o eludir los monitores de registro.
Disponibilidad y precios
Estas nuevas características están disponibles hoy en todas las regiones de AWS donde se ofrece Amazon CodeGuru. Para obtener más información, consulte la Lista de servicios regionales de AWS.
La biblioteca de detectores se puede explorar de forma gratuita como parte de la documentación. Para los nuevos detectores que buscan defectos de inyección de registro, se aplica el precio estándar. Consulte la página de precios de CodeGuru para obtener más información.
Comience a utilizar Amazon CodeGuru Reviewer hoy mismo para mejorar la seguridad de su código.
— Danilo