Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CodeGuru Security ってなんだ?
Search
Yuki_Kurono
August 05, 2023
Programming
0
760
CodeGuru Security ってなんだ?
「JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習」のLT資料
https://jawsug-nagoya.doorkeeper.jp/events/160064
Yuki_Kurono
August 05, 2023
Tweet
Share
More Decks by Yuki_Kurono
See All by Yuki_Kurono
今年のre:inventから学ぶこと
yuki_kurono
0
15
re_invent 2023事前勉強会
yuki_kurono
0
46
CloudFormationの運用が 辛くならない方法を本気で考えてみた
yuki_kurono
0
160
CloudFormationで登場したForEachをちゃんと理解してみる
yuki_kurono
0
520
Turnstileのウィジェット モードとは何者か
yuki_kurono
0
320
えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる
yuki_kurono
0
280
Cloudflare初心者がIaCから基本構成を学んでみた
yuki_kurono
1
480
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
1.2k
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい
yuki_kurono
0
540
Other Decks in Programming
See All in Programming
dbt Pythonモデルで実現するSnowflake活用術
trsnium
0
270
ファインディLT_ポケモン対戦の定量的分析
fufufukakaka
0
940
コミュニティ駆動 AWS CDK ライブラリ「Open Constructs Library」 / community-cdk-library
gotok365
2
250
メンテが命: PHPフレームワークのコンテナ化とアップグレード戦略
shunta27
0
310
Djangoにおける複数ユーザー種別認証の設計アプローチ@DjangoCongress JP 2025
delhi09
PRO
4
500
Django NinjaによるAPI開発の効率化とリプレースの実践
kashewnuts
1
290
DRFを少しずつ オニオンアーキテクチャに寄せていく DjangoCongress JP 2025
nealle
2
290
Rails 1.0 のコードで学ぶ find_by* と method_missing の仕組み / Learn how find_by_* and method_missing work in Rails 1.0 code
maimux2x
1
260
自力でTTSモデルを作った話
zgock999
0
120
Datadog Workflow Automation で圧倒的価値提供
showwin
1
280
複数のAWSアカウントから横断で 利用する Lambda Authorizer の作り方
tc3jp
0
120
Kotlinの開発でも AIをいい感じに使いたい / Making the Most of AI in Kotlin Development
kohii00
5
1.4k
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Thoughts on Productivity
jonyablonski
69
4.5k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Statistics for Hackers
jakevdp
797
220k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Visualization
eitanlees
146
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Transcript
CodeGuru Security ってなんだ? yuki kurono 2023/8/5 JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
自己紹介 #jawsug #jawsug_nagoya 黒野 雄稀 Yuki Kurono アイレット株式会社 普段はインフラ設計・構築や運用構築に従事 2022/2023
Japan AWS All Certifications Engineers 2023 Japan AWS Top Engineers
CodeGuru Securityとは #jawsug #jawsug_nagoya re:inforce 2023にて発表された新サービス AWSから提供される、 静的アプリケーションセキュリティツール (SAST)です。 機械学習
(ML) と自動推論を組み合わせて、 コードに対して脆弱性の特定、修正提案を行うサービスです。 対応言語はJava, Python, JavaScript 現在はプレビューリリースとして提供されており、利用料は 無料となります。 ※2023/8/5現在
CodeGuruって実は3種類いる #jawsug #jawsug_nagoya • CodeGuru Security ◦ コードに対しての脆弱性の特定、修正提案 • CodeGuru
Profiler ◦ コードに対してのアプリケーションパフォーマンスの最適化提案 • CodeGuru Reviewer ◦ コードに対しての脆弱性の特定、修正提案
CodeGuru Reviewerと何が違うんだっけ? #jawsug #jawsug_nagoya • CodeGuru Security ◦ 機能:コードに対しての脆弱性の特定、修正提案 ◦
対応言語:Java, Python, JavaScript ◦ 統合:IDE, CodePipeline, Github, Gitlab, Amazon Inspector, CLI • CodeGuru Reviewer ◦ 機能:コードに対しての脆弱性の特定、修正提案 ◦ 対応言語:Java, Python ◦ 統合:無し(CLI,APIから呼び出しは可能)
考察 #jawsug #jawsug_nagoya AWSのドキュメント、コンソールでCodeGuru Reviewerがのけ者にされつつあるので、 今後CodeGuru ReviewerはCodeGuru Securityに置き換わるのでは?
試してみた #jawsug #jawsug_nagoya CodeGuruコンソールに新たに追加されており、利用可能となっている。 ※現在はプレビューリリースの為、変更の可能性があります。
demo #jawsug #jawsug_nagoya • アクセスキーを疑似的にソースコードに書き込んで検知されるかをテストする。 • 検知されたコードに対して修正を行い、問題が解決されることを確認する。
まとめ #jawsug #jawsug_nagoya • CodeGuru Reviewerでは提案までで改善されたかどうか分からなかったの が、可視化されるようになっているのは嬉しいユーザが多いと思う。 • 自力で実装するのではなくSecurityを使うことで複数のサービスに統合で きるのは開発者にとってとてもありがたい。。
• 恐らく、CodeGuru ReviewerはCodeGuru Securityに今後置き換わるのでは ないかなと思う。
参考 #jawsug #jawsug_nagoya re:Inforce 2023のKeynoteがYoutubeで公開されています。 https://www.youtube.com/watch?v=_piUB5FrYVE