程式碼審查和最佳化服務Amazon CodeGuru,其用來審查程式碼的元件CodeGuru Reviewer,現在新增機密偵測(Secrets Detector)工具,可以自動偵測原始碼和配置文件中的機密資訊,包括密碼、API金鑰、SSH金鑰和存取權杖。

Amazon CodeGuru能夠掃描和分析用戶的Java和Python應用程式,協助用戶提高程式碼品質,並進行自動化程式碼審查,Amazon CodeGuru分為Reviewer和Profiler兩部分,Profiler能夠分析應用程式執行時的行為,而Reviewer則會運用機器學習技術,偵測程式碼中的潛在缺陷和錯誤,能夠找出安全漏洞、資源洩漏、並行問題,或是提醒開發者的程式碼偏離AWS最佳實踐。

機密資訊的集中管理和治理,更是安全實踐的重點之一,官方提到,由於許多開發人員在面臨時間壓力時,會選擇在程式碼中走捷徑,在本地端開發使用明文環境變數,或是寫死靜態機密資訊,之後不經意地提交了這些機密。而AWS新發布的機密偵測工具,便是要以自動化的方式,來檢測和保護企業儲存庫中的機密。

機密偵測器使用機器學習技術,在程式碼審查過程辨識出明文寫死的機密,要確保新程式碼在提交或是部署之前,不包含明文的機密。除了Java和Python程式碼之外,機密偵測器還會掃描配置和文件檔案,CodeGuru Reviewer會建議修復步驟,藉由使用AWS Secrets Manager保護用戶的機密。AWS Secrets Manager是一項託管服務,可安全且自動地儲存、輪替、管理和檢索,包含憑證、API金鑰和各種機密。

這個新功能會在CodeGuru Reviewer中免費提供,並且支援常見的API供應商,像是AWS、Atlassian、Datadog、Databricks、Slack和Telegram等。用戶不需要支付額外的費用,就可以開始使用這個新功能,目前在所有提供CodeGuru Reviewer服務的地區都已經上線。


熱門新聞

Advertisement