Amazon CodeGuru Reviewer 신규 기능 – 로그 주입 결함에 대한 감지 라이브러리 및 보안 감지기

KENNETH

3년 ago

Amazon CodeGuru Reviewer 신규 기능 – 로그 주입 결함에 대한 감지 라이브러리 및 보안 감지기

Amazon CodeGuru Reviewer는 코드의 보안 취약점을 감지하고 코드 품질을 개선하기 위한 지능형 권장 사항을 제공하는 개발자 도구입니다. 예를 들어, CodeGuru Reviewer는 Java 및 Python 코드용 Security Detectors를 도입하여 상위 10개 OWASP(Open Web Application Security Project) 범주에서 보안 위험을 식별하고 AWS API 및 공통 암호화 라이브러리에 대한 보안 모범 사례를 따릅니다. re:Invent에서 CodeGuru Reviewer는 하드 코딩된 비밀을 식별하고 AWS Secrets Manager로 비밀을 보호하기 위한 수정 단계를 제안하는 비밀 감지기를 도입했습니다. 이러한 기능은 배포하기 전에 보안 문제를 찾아 해결하는 데 도움이 됩니다.

오늘 저는 CodeGuru Reviewer의 두 가지 새로운 기능을 공유하게 되어 기쁩니다.

새로운 감지기 라이브러리는 CodeGuru Reviewer가 가능한 결함을 찾을 때 사용하는 감지기를 자세히 설명하고 Java 및 Python용 코드 샘플을 포함합니다.
이 블로그 게시물에서 설명한 최근 Apache Log4j에서 발생한 취약점과 유사한 Java 및 Python 코드에서 로그 주입 결함을 감지하기 위한 새로운 보안 감지기가 도입되었습니다.

이 새로운 기능에 대해 자세히 살펴보겠습니다.

감지기 라이브러리 사용
CodeGuru Reviewer가 코드를 검토하는 데 사용하는 감지기를 더 명확하게 이해할 수 있도록 이제 자세한 정보와 코드 샘플을 찾을 수 있는 감지기 라이브러리를 공유하겠습니다.

이러한 감지기는 AWS에서 안전하고 효율적인 애플리케이션을 구축하는 데 도움이 됩니다. 감지기 라이브러리에서 설명, 심각도 및 애플리케이션에 미치는 잠재적 영향, 위험을 완화하는 데 도움이 되는 추가 정보를 포함하여 CodeGuru Reviewer의 보안 및 코드 품질 감지기에 대한 자세한 정보를 찾을 수 있습니다.

각 감지기는 광범위한 코드 결함을 찾습니다. 각 감지기에는 하나의 비준수 및 규정 준수 코드 예제가 포함되어 있습니다. 그러나 CodeGuru는 기계 학습과 자동화된 추론을 사용하여 가능한 문제를 식별합니다. 이러한 이유로 각 감지기는 감지기의 설명 페이지에 표시된 명시적 코드 예제 외에도 다양한 결함을 찾을 수 있습니다.

몇 가지 감지기를 살펴보겠습니다. 한 감지기는 감지 수준이 너무 낮아 신뢰할 수 없거나 악의적인 출처에서 콘텐츠까지도 로드할 수 있는 안전하지 않은 교차 출처 리소스 공유(CORS) 정책을 찾고 있습니다.

또 다른 감지기는 공격을 활성화하고 원치 않는 동작을 유발할 수 있는 부적절한 입력 검증을 검사합니다.

특정 감지기를 사용하면 애플리케이션에서 Java용 AWS SDK 및 Python용 AWS SDK(Boto3)를 사용할 수 있습니다. 예를 들어 암호 및 액세스 키와 같은 하드 코딩된 자격 증명 또는 비효율적인 AWS 리소스 폴링을 감지할 수 있는 감지기가 있습니다.

로그 주입 결함에 대한 새로운 감지기
최근 Apache Log4j 취약성 이후, CodeGuru Reviewer에 새로운 감지기를 도입하여 삭제되지 않고 실행 가능성이 있는 항목을 로깅하고 있는지 확인합니다. 이러한 감지기는 CWE-117: 로그에 대한 부적절한 출력 중립화에 설명된 문제를 처리합니다.

이러한 감지기는 Java 및 Python 코드와 함께 작동하며, Java의 경우 Log4j 라이브러리에 국한되지 않습니다. 사용하는 라이브러리 버전을 보고 작동하는 것이 아니라 실제로 로깅하는 항목을 확인합니다. 이러한 방식으로 향후 유사한 버그가 발생할 경우 사용자를 보호할 수 있습니다.