Veröffentlicht am: Feb 15, 2022
Amazon CodeGuru ist ein auf Machine Learning basierendes Entwicklertool, das intelligente Empfehlungen zum Erkennen von Sicherheitslücken bietet, die Codequalität verbessert und die teuersten Codezeilen einer Anwendung identifiziert.
Heute kündigen wir einen neuen Log-Injection-Detektor an, der Ihren Java- oder Python-Code auf potenziell unsichere Protokollierungsanweisungen analysiert, darunter auch solche, die durch das Apache-Log4j-Problem ausgenutzt werden könnten. Dies funktioniert, indem bestätigt wird, dass Ihr Code Angreifer daran hindert, Protokolleinträge zu fälschen, bösartige Inhalte in Protokolle zu injizieren oder Remote Code Execution (RCE) auszuführen. Wenn eine Log-Injection-Schwachstelle gefunden wird, liefert CodeGuru Reviewer eine umsetzbare Empfehlung aus einer Repository-Analyse in der CodeGuru-Konsole oder als Kommentar zu einer Pull-Anfrage.
Wenn Sie ein neues Repository zu Amazon CodeGuru Reviewer hinzufügen, führt der Service eine erste Repository-Analyse durch und gibt Empfehlungen zu einer Vielzahl von Code-Qualitäts- und Sicherheitsproblemen, einschließlich Log-Injection-Angriffen. Wenn sich Ihre Codebasis weiterentwickelt, hilft CodeGuru Reviewer Ihnen weiterhin, Ihre Anwendung zu schützen, indem er in Ihren Pull-Anfrage-Workflow oder Ihre CI/CD-Pipeline integriert wird.
Um mit dem Log-Injection-Detektor von Amazon CodeGuru Reviewer zu beginnen, lesen Sie den Blog, die CodeGuru Reviewer Detector Library oder das Benutzerhandbuch. Weitere Informationen zu Amazon CodeGuru Reviewer finden Sie auf der Seite von Amazon CodeGuru. Um das Team zu kontaktieren, besuchen Sie das Entwicklerforum für Amazon CodeGuru.