发布于: Feb 15, 2022
Amazon CodeGuru 是由机器学习提供支持的开发工具,可提供智能建议,用以检测安全漏洞、改进代码质量并确定应用程序中最昂贵的代码行。
今天,我们宣布推出新的日志注入检测器,它可以分析 Java 或 Python 代码中是否存在潜在不安全的日志记录语句,包括那些可能被 Apache Log4j 问题利用的记录语句。该检测器的工作机制是通过确认代码来防止攻击者伪造日志条目、将恶意内容注入日志或远程执行代码 (RCE)。当发现日志注入漏洞时,CodeGuru Reviewer 会在 CodeGuru 控制台的存储库分析中或以拉取请求评论的形式提供可操作的建议。
当您向 Amazon CodeGuru Reviewer 添加新存储库时,该服务会执行初始存储库分析,并就包括日志注入攻击在内的各种代码质量和安全问题提供建议。随着代码库的发展,CodeGuru Reviewer 通过集成到拉取请求工作流或 CI/CD 管道,继续帮助您保护应用程序。
要开始使用 Amazon CodeGuru Reviewer 日志注入检测器,请访问博客、CodeGuru Reviewer Detector Library 或用户指南。要了解 Amazon CodeGuru Reviewer 的更多信息,请查看 Amazon CodeGuru 页面。要联系我们的团队,请访问 Amazon CodeGuru 开发人员论坛。