Amazon CodeGuru現(xiàn)在可由GitHub Actions觸發(fā)程序代碼分析作業(yè)

AWS程序代碼自動(dòng)審查服務(wù)Amazon CodeGuru加入兩項(xiàng)新功能，除了與GitHub Actions集成，使得用戶可以使用GitHub Actions，在構(gòu)建過(guò)程觸發(fā)程序代碼品質(zhì)和安全性分析外，還提供20種新的Java檢測(cè)器，協(xié)助開(kāi)發(fā)者找出更多Java程序的安全性漏洞，并且編寫符合AWS最佳實(shí)踐的程序代碼。

CodeGuru Reviewer可讓開(kāi)發(fā)者使用AWS控制臺(tái)、開(kāi)發(fā)包和CLI工具，檢測(cè)Java和Python應(yīng)用程序中，難以發(fā)現(xiàn)的缺陷和bug。CodeGuru Reviewer現(xiàn)在提供的這項(xiàng)最新CI/CD功能，可以讓開(kāi)發(fā)團(tuán)隊(duì)在推送新程序代碼的時(shí)候，于開(kāi)發(fā)周期早期就找出安全漏洞，CodeGuru Reviewer集成開(kāi)發(fā)者常用的程序代碼存儲(chǔ)庫(kù)服務(wù)GitHub，在程序代碼拉取請(qǐng)求審查階段，協(xié)助審查者把關(guān)程序代碼，所有的CodeGuru的建議都可成為拉取請(qǐng)求評(píng)論，有助于開(kāi)發(fā)者解決程序代碼中存在的問(wèn)題。

Amazon CodeGuru的另一個(gè)更新，則是加入了新的Java安全檢測(cè)器。AWS在去年底的時(shí)候，在CodeGuru Reviewer加入安全檢測(cè)器，協(xié)助開(kāi)發(fā)者找出并且修復(fù)Java應(yīng)用程序中的潛在安全問(wèn)題，官方提到，這些檢測(cè)器都是利用機(jī)器學(xué)習(xí)和自動(dòng)推理技術(shù)構(gòu)建，不只使用超過(guò)10萬(wàn)個(gè)Amazon和開(kāi)源程序代碼庫(kù)訓(xùn)練，其中也包含了AWS應(yīng)用程序安全團(tuán)隊(duì)的專業(yè)知識(shí)。

這些安全檢測(cè)器可以從日志記錄、異常處理，和密碼處理方式，找出潛在的敏感信息或是憑證泄露，而且也能發(fā)現(xiàn)多種網(wǎng)頁(yè)應(yīng)用程序漏洞，像是指令注入、SQL注入、路徑走訪和XSS等。而新的Java安全檢測(cè)器，能夠識(shí)別Java Servlet API，和例如Spring等網(wǎng)頁(yè)框架的安全問(wèn)題，其他新的檢測(cè)器還可以協(xié)助用戶在使用S3、IAM、Lambda等服務(wù)或是公用程序時(shí)，能夠創(chuàng)建安全最佳實(shí)踐。

目前CI/CD集成功能以及Java偵測(cè)器都已經(jīng)上線可以使用，用戶不需要付出額外的費(fèi)用，而使用到S3服務(wù)時(shí)，則會(huì)視存儲(chǔ)的構(gòu)件以及審查程序代碼的頻率來(lái)估算費(fèi)用。