APP下载

AWS程式码导师服务CodeGuru可自动侦测机密资讯,防止密码意外泄漏

消息来源:baojiabao.com 作者: 发布时间:2022-05-19

05月19日更新

程式码审查和最佳化服务Amazon CodeGuru,其用来审查程式码的元件CodeGuru Reviewer,现在新增机密侦测(Secrets Detector)工具,可以自动侦测源代码和配置文件中的机密资讯,包括密码、API金钥、SSH金钥和存取权杖。

Amazon CodeGuru能够扫描和分析用户的Java和Python应用程序,协助用户提高程式码品质,并进行自动化程式码审查,Amazon CodeGuru分为Reviewer和Profiler两部分,Profiler能够分析应用程序执行时的行为,而Reviewer则会运用机器学习技术,侦测程式码中的潜在缺陷和错误,能够找出安全漏洞、资源泄漏、并行问题,或是提醒开发者的程式码偏离AWS最佳实践。

机密资讯的集中管理和治理,更是安全实践的重点之一,官方提到,由于许多开发人员在面临时间压力时,会选择在程式码中走捷径,在本地端开发使用明文环境变数,或是写死静态机密资讯,之后不经意地提交了这些机密。而AWS新发布的机密侦测工具,便是要以自动化的方式,来检测和保护企业储存库中的机密。

机密侦测器使用机器学习技术,在程式码审查过程辨识出明文写死的机密,要确保新程式码在提交或是部署之前,不包含明文的机密。除了Java和Python程式码之外,机密侦测器还会扫描配置和文件档案,CodeGuru Reviewer会建议修复步骤,借由使用AWS Secrets Manager保护用户的机密。AWS Secrets Manager是一项托管服务,可安全且自动地储存、轮替、管理和检索,包含凭证、API金钥和各种机密。

这个新功能会在CodeGuru Reviewer中免费提供,并且支援常见的API供应商,像是AWS、Atlassian、Datadog、Databricks、Slack和Telegram等。用户不需要支付额外的费用,就可以开始使用这个新功能,目前在所有提供CodeGuru Reviewer服务的地区都已经上线。

2021-12-01 10:48:00

相关文章