Amazon Web Services (AWS), Log4J Java günlük kitaplığında yakın zamanda açıklanan Log4Shell hatası gibi günlük ekleme kusurlarını algılamak için kod inceleme aracı CodeGuru Reviewer’daki “algılayıcıları” güncelledi. Geçen Aralık ayında açıklandıktan sonra Log4Shell olarak yeniden adlandırılan Log4J’deki kritik kusurlar, teknoloji endüstrisini ve oyuncularını tüm sistemi daha az savunmasız hale getirmek için çabalarını hızlandırmaya teşvik etti. AWS, web uygulamaları için yeni güvenlik duvarı kuralları ve EC2 VM örneklerindeki güvenlik açığını tespit etmek için Inspector aracında yapılan güncellemeler gibi müşterilerin kaynaklarını korumalarına yardımcı olacak çeşitli araçlar başlattı.
Amazon’un bulut şubesi, kodun güvenliğini sağlamada daha da ileri gitmek için, her tür kusuru tespit etmek ve güvenlik sorunlarına yönelik iyileştirmeler önermek için makine öğrenimine dayanan CodeGuru Reviewer kod inceleme aracının yeteneklerini geliştirdi. AWS’nin aracı, koda sahip geliştiriciler için sürekli entegrasyon ve geliştirme (CI/CD) süreçleri bağlamında kod incelemelerini iyileştirmeyi amaçlar. Örneğin, geliştiriciler GitHub veya Bitbucket’e kod gönderdikten sonra, kod gözden geçirici olarak CodeGuru Gözden Geçirici’yi ekleyebilir.
Artık CodeGuru Reviewer, Java ve Python uygulama kaynak kodunda ve parolalar ve API erişim anahtarları gibi yapılandırma dosyalarında sabit kodlanmış hassas verileri algılayabilir. Bunu yapmak için araç, Java ve Python web uygulamalarını etkileyen birkaç yaygın güvenlik açıklarının yanı sıra özellikle Log4Shell gibi günlük ekleme güvenlik açıklarını hedefleyen birkaç yeni güvenlik detektörü dahil olmak üzere yeni kaynaklara sahiptir.
Büyüyen bir kütüphane
CodeGuru Reviewer’ın Dedektör Kitaplığı artık Java kodundaki kimliği doğrulanmamış LDAP istekleri gibi Java ve Python programlamasında yaygın olan çeşitli kusurlar için çeşitli algılayıcıların bir listesini içerir. Her bir güvenlik sorunu, önem derecesi ve bir uygulama üzerindeki etkisinin yanı sıra her sorun için uyumlu olmayan ve uyumlu bir kod durumu hakkında ayrıntılar sunar. Kütüphane şu anda 91 Java dedektörü ve 69 Python dedektörü içermektedir.
AWS, CodeGuru’nun olası sorunları belirlemek için “makine öğrenimi ve otomatik akıl yürütmeyi” kullandığını ve böylece her dedektörün dedektörün açıklama sayfasında listelenen örneğe ek olarak bir dizi kusur bulabileceğini belirtir. Log4Shell’e yanıt olarak AWS, geliştiricilerin “temizlenmemiş ve muhtemelen yürütülebilir” verileri günlüğe kaydedip kaydetmediğini kontrol eden benzer kusurlar için daha genel bir dedektör tanıttı.
CodeGuru Reviewer, böyle bir kod örneği bulursa, “kullanıcı tarafından sağlanan girdinin kaydetmeden önce sterilize edilmesi gerektiği” konusunda uyarır. Saldırgan, bir günlüğün bütünlüğünü bozmak, günlük girişlerinde değişiklik yapmak veya günlük izleyicilerini atlamak için temizlenmemiş girişleri kullanabilir. Ardından, uyumlu olmayan ve uyumlu kod örnekleri sağlar. AWS yönetimi, “Bu algılayıcılar Java ve Python koduyla çalışır ve Java için Log4j kitaplığıyla sınırlı değildir.”
“Detektörler, kullandığınız kitaplıkların sürümüne bakarak değil, gerçekte ne kaydettiğinizi kontrol ederek çalışır. Bu şekilde gelecekte benzer hatalar meydana gelirse sizi koruyabilirler” diye belirtiyor Amerikan devi. Tek sorun: maliyeti. Avrupa, Kuzey Amerika ve Asya Pasifik’in AWS Bölgelerinde sunulan hizmet, yerleşik depolardaki ilk 100.000 kod satırı için aylık 10 ABD doları abonelikle kullanılabilir ve her ek 100.000 için aylık 30 ABD doları tutarındadır. Kod satırları.
Kaynak: ZDNet.com
