Slide 1

Slide 1 text

CodeGuru Security ってなんだ? yuki kurono 2023/8/5 JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習

Slide 2

Slide 2 text

自己紹介 #jawsug #jawsug_nagoya 黒野 雄稀 Yuki Kurono アイレット株式会社 普段はインフラ設計・構築や運用構築に従事 2022/2023 Japan AWS All Certifications Engineers 2023 Japan AWS Top Engineers

Slide 3

Slide 3 text

CodeGuru Securityとは #jawsug #jawsug_nagoya re:inforce 2023にて発表された新サービス AWSから提供される、 静的アプリケーションセキュリティツール (SAST)です。 機械学習 (ML) と自動推論を組み合わせて、 コードに対して脆弱性の特定、修正提案を行うサービスです。 対応言語はJava, Python, JavaScript 現在はプレビューリリースとして提供されており、利用料は 無料となります。 ※2023/8/5現在

Slide 4

Slide 4 text

CodeGuruって実は3種類いる #jawsug #jawsug_nagoya ● CodeGuru Security ○ コードに対しての脆弱性の特定、修正提案 ● CodeGuru Profiler ○ コードに対してのアプリケーションパフォーマンスの最適化提案 ● CodeGuru Reviewer ○ コードに対しての脆弱性の特定、修正提案

Slide 5

Slide 5 text

CodeGuru Reviewerと何が違うんだっけ? #jawsug #jawsug_nagoya ● CodeGuru Security ○ 機能:コードに対しての脆弱性の特定、修正提案 ○ 対応言語:Java, Python, JavaScript ○ 統合:IDE, CodePipeline, Github, Gitlab, Amazon Inspector, CLI ● CodeGuru Reviewer ○ 機能:コードに対しての脆弱性の特定、修正提案 ○ 対応言語:Java, Python ○ 統合:無し(CLI,APIから呼び出しは可能)

Slide 6

Slide 6 text

考察 #jawsug #jawsug_nagoya AWSのドキュメント、コンソールでCodeGuru Reviewerがのけ者にされつつあるので、 今後CodeGuru ReviewerはCodeGuru Securityに置き換わるのでは?

Slide 7

Slide 7 text

試してみた #jawsug #jawsug_nagoya CodeGuruコンソールに新たに追加されており、利用可能となっている。 ※現在はプレビューリリースの為、変更の可能性があります。

Slide 8

Slide 8 text

demo #jawsug #jawsug_nagoya ● アクセスキーを疑似的にソースコードに書き込んで検知されるかをテストする。 ● 検知されたコードに対して修正を行い、問題が解決されることを確認する。

Slide 9

Slide 9 text

まとめ #jawsug #jawsug_nagoya ● CodeGuru Reviewerでは提案までで改善されたかどうか分からなかったの が、可視化されるようになっているのは嬉しいユーザが多いと思う。 ● 自力で実装するのではなくSecurityを使うことで複数のサービスに統合で きるのは開発者にとってとてもありがたい。。 ● 恐らく、CodeGuru ReviewerはCodeGuru Securityに今後置き換わるのでは ないかなと思う。

Slide 10

Slide 10 text

参考 #jawsug #jawsug_nagoya re:Inforce 2023のKeynoteがYoutubeで公開されています。 https://www.youtube.com/watch?v=_piUB5FrYVE