AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能--Log4Shellに類似した脆弱性検出

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2022-02-17 13:36

 Amazon Web Services(AWS)は米国時間2月15日、コードレビューツール「Amazon CodeGuru Reviewer」の「ディテクター」(検出機能)をアップデートし、「Log4Shell」のようなログインジェクション脆弱性を発見できるようにしたと発表した。Log4Shellは、広く普及しているJavaのログ出力ライブラリー「Apache Log4j」の脆弱性で、12月に明らかにされた

 AWSはCodeGuru Reviewerに2つの新機能を追加した。CodeGuru Reviewは、機械学習(ML)を活用してコードレビューを自動化し、脆弱性の有無を精査したり、セキュリティ脆弱性に対処するための改善策を提示したりするツールだ。開発者がコード開発で採用しているCI/CD(継続的インテグレーション/継続的デリバリー)プロセスというコンテキストで、コードレビューの質を向上できる。例えば、開発者はGitHubやBitbucketにコードをコミットした後、コードレビュアーとしてCodeGuru Reviewerを追加できる。

 新機能で、このツールのセキュリティチェック機能が強化される。同社は2021年に「Amazon CodeGuru Reviewer Secrets Detector」を追加した。JavaやPythonのアプリケーションのソースコードや設定ファイルに、パスワードや、APIのアクセス鍵といった慎重な扱いを要する機密データがハードコーディングされているかどうかをチェックするものだ。

 今回導入された新機能は、CodeGuru Reviewerが問題の可能性を見つける際に利用するディテクターの詳細を説明する新しい「Detector Library」と、Apache Log4jの脆弱性で起こったことと同じような、ログインジェクションの脆弱性をJavaとPythonのコードで検出するための新しいディテクターだ。

 Detector Libraryには、JavaやPythonでよく見られるさまざまな脆弱性を検出するためのディテクター群が含まれている。Javaのディテクターには、Javaコード中の「認証されていないLDAPリクエスト」などがある。また、このライブラリーで、CodeGuru Reviewerのセキュリティおよびコード品質のディテクターに関する詳細な情報を把握できる。例えば、セキュリティのそれぞれの懸念に関する詳細や、アプリケーションへの影響や深刻度、リスクを緩和するための追加情報などだ。非準拠コードと準拠コードの例もある。

 CodeGuru Reviewerは問題となりそうなものを識別する上で「MLと自動推論を使用している」ため、それぞれのディテクターはその解説ページの例で示されている例のほか、さまざまな問題を検出できるとAWSは説明している。

 また、AWSはLog4Shellの問題を受け、「サニタイズされておらず、実行できる可能性のある」データを開発者がログ出力していないかどうかを調査する新たなディテクターをCodeGuru Reviewerに導入した。

 AWSは、このディテクターがそういったコードを発見した場合、「ユーザーが提供する入力は、ログ出力に先立ってサニタイズする必要がある」とし、「攻撃者はサニタイズされない入力を用いて、ログの整合性を破綻させたり、ログのエントリーをねつ造したり、ログの監視をバイパスしたりできるようになる」と説明している。

 「これらのディテクターはJavaとPythonのコードで動く。JavaではLog4jライブラリーに限られない。これらは使用しているライブラリーのバージョンを読み込んで動作するのではなく、実際にログを出力している部分をチェックして動作する。このようにして、将来的に類似の脆弱性が発生した際に保護できる」(AWS)

 新機能は、CodeGuru Reviewerが提供されている米国、欧州、アジア太平洋などの一部のAWSリージョンで利用可能になっている。Detector Libraryはドキュメンテーションの一部として無料で閲覧できる。ログインジェクションを見つける新しいディテクターには、標準的な価格が適用される。CodeGuruの価格に関するページで詳細を確認できる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]