CodeGuru Security ってなんだ？ yuki kurono 2023/8/5 JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習

自己紹介 #jawsug #jawsug_nagoya 黒野 雄稀 Yuki Kurono アイレット株式会社 普段はインフラ設計・構築や運用構築に従事 2022/2023 Japan AWS All Certifications Engineers 2023 Japan AWS Top Engineers

CodeGuru Securityとは #jawsug #jawsug_nagoya re:inforce 2023にて発表された新サービス AWSから提供される、 静的アプリケーションセキュリティツール (SAST)です。 機械学習 (ML) と自動推論を組み合わせて、 コードに対して脆弱性の特定、修正提案を行うサービスです。 対応言語はJava, Python, JavaScript 現在はプレビューリリースとして提供されており、利用料は 無料となります。 ※2023/8/5現在

CodeGuruって実は3種類いる #jawsug #jawsug_nagoya ● CodeGuru Security ○ コードに対しての脆弱性の特定、修正提案 ● CodeGuru Profiler ○ コードに対してのアプリケーションパフォーマンスの最適化提案 ● CodeGuru Reviewer ○ コードに対しての脆弱性の特定、修正提案

CodeGuru Reviewerと何が違うんだっけ？ #jawsug #jawsug_nagoya ● CodeGuru Security ○ 機能：コードに対しての脆弱性の特定、修正提案 ○ 対応言語：Java, Python, JavaScript ○ 統合：IDE, CodePipeline, Github, Gitlab, Amazon Inspector, CLI ● CodeGuru Reviewer ○ 機能：コードに対しての脆弱性の特定、修正提案 ○ 対応言語：Java, Python ○ 統合：無し(CLI,APIから呼び出しは可能)

考察 #jawsug #jawsug_nagoya AWSのドキュメント、コンソールでCodeGuru Reviewerがのけ者にされつつあるので、 今後CodeGuru ReviewerはCodeGuru Securityに置き換わるのでは？

試してみた #jawsug #jawsug_nagoya CodeGuruコンソールに新たに追加されており、利用可能となっている。 ※現在はプレビューリリースの為、変更の可能性があります。

demo #jawsug #jawsug_nagoya ● アクセスキーを疑似的にソースコードに書き込んで検知されるかをテストする。 ● 検知されたコードに対して修正を行い、問題が解決されることを確認する。

まとめ #jawsug #jawsug_nagoya ● CodeGuru Reviewerでは提案までで改善されたかどうか分からなかったの が、可視化されるようになっているのは嬉しいユーザが多いと思う。 ● 自力で実装するのではなくSecurityを使うことで複数のサービスに統合で きるのは開発者にとってとてもありがたい。。 ● 恐らく、CodeGuru ReviewerはCodeGuru Securityに今後置き換わるのでは ないかなと思う。

参考 #jawsug #jawsug_nagoya re:Inforce 2023のKeynoteがYoutubeで公開されています。 https://www.youtube.com/watch?v=_piUB5FrYVE