Amazon Web Services 한국 블로그
Amazon CodeGuru Reviewer 신규 기능 – 로그 주입 결함에 대한 감지 라이브러리 및 보안 감지기
Amazon CodeGuru Reviewer는 코드의 보안 취약점을 감지하고 코드 품질을 개선하기 위한 지능형 권장 사항을 제공하는 개발자 도구입니다. 예를 들어, CodeGuru Reviewer는 Java 및 Python 코드용 Security Detectors를 도입하여 상위 10개 OWASP(Open Web Application Security Project) 범주에서 보안 위험을 식별하고 AWS API 및 공통 암호화 라이브러리에 대한 보안 모범 사례를 따릅니다. re:Invent에서 CodeGuru Reviewer는 하드 코딩된 비밀을 식별하고 AWS Secrets Manager로 비밀을 보호하기 위한 수정 단계를 제안하는 비밀 감지기를 도입했습니다. 이러한 기능은 배포하기 전에 보안 문제를 찾아 해결하는 데 도움이 됩니다.
오늘 저는 CodeGuru Reviewer의 두 가지 새로운 기능을 공유하게 되어 기쁩니다.
- 새로운 감지기 라이브러리는 CodeGuru Reviewer가 가능한 결함을 찾을 때 사용하는 감지기를 자세히 설명하고 Java 및 Python용 코드 샘플을 포함합니다.
- 이 블로그 게시물에서 설명한 최근 Apache Log4j에서 발생한 취약점과 유사한 Java 및 Python 코드에서 로그 주입 결함을 감지하기 위한 새로운 보안 감지기가 도입되었습니다.
이 새로운 기능에 대해 자세히 살펴보겠습니다.
감지기 라이브러리 사용
CodeGuru Reviewer가 코드를 검토하는 데 사용하는 감지기를 더 명확하게 이해할 수 있도록 이제 자세한 정보와 코드 샘플을 찾을 수 있는 감지기 라이브러리를 공유하겠습니다.
이러한 감지기는 AWS에서 안전하고 효율적인 애플리케이션을 구축하는 데 도움이 됩니다. 감지기 라이브러리에서 설명, 심각도 및 애플리케이션에 미치는 잠재적 영향, 위험을 완화하는 데 도움이 되는 추가 정보를 포함하여 CodeGuru Reviewer의 보안 및 코드 품질 감지기에 대한 자세한 정보를 찾을 수 있습니다.
각 감지기는 광범위한 코드 결함을 찾습니다. 각 감지기에는 하나의 비준수 및 규정 준수 코드 예제가 포함되어 있습니다. 그러나 CodeGuru는 기계 학습과 자동화된 추론을 사용하여 가능한 문제를 식별합니다. 이러한 이유로 각 감지기는 감지기의 설명 페이지에 표시된 명시적 코드 예제 외에도 다양한 결함을 찾을 수 있습니다.
몇 가지 감지기를 살펴보겠습니다. 한 감지기는 감지 수준이 너무 낮아 신뢰할 수 없거나 악의적인 출처에서 콘텐츠까지도 로드할 수 있는 안전하지 않은 교차 출처 리소스 공유(CORS) 정책을 찾고 있습니다.
또 다른 감지기는 공격을 활성화하고 원치 않는 동작을 유발할 수 있는 부적절한 입력 검증을 검사합니다.
특정 감지기를 사용하면 애플리케이션에서 Java용 AWS SDK 및 Python용 AWS SDK(Boto3)를 사용할 수 있습니다. 예를 들어 암호 및 액세스 키와 같은 하드 코딩된 자격 증명 또는 비효율적인 AWS 리소스 폴링을 감지할 수 있는 감지기가 있습니다.
로그 주입 결함에 대한 새로운 감지기
최근 Apache Log4j 취약성 이후, CodeGuru Reviewer에 새로운 감지기를 도입하여 삭제되지 않고 실행 가능성이 있는 항목을 로깅하고 있는지 확인합니다. 이러한 감지기는 CWE-117: 로그에 대한 부적절한 출력 중립화에 설명된 문제를 처리합니다.
이러한 감지기는 Java 및 Python 코드와 함께 작동하며, Java의 경우 Log4j 라이브러리에 국한되지 않습니다. 사용하는 라이브러리 버전을 보고 작동하는 것이 아니라 실제로 로깅하는 항목을 확인합니다. 이러한 방식으로 향후 유사한 버그가 발생할 경우 사용자를 보호할 수 있습니다.
이러한 감지기에 이후 사용자가 제공한 입력은 기록되기 전에 삭제되어야 합니다. 이렇게 하면 공격자가 이 입력을 사용하여 로그 무결성을 손상하거나 로그 항목을 위조하거나 로그 모니터를 우회할 수 없게 됩니다.
가용성 및 요금
오늘 발표한 새로운 기능은 Amazon CodeGuru가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. 자세한 내용은 AWS 리전 서비스 목록을 참조하세요.
감지기 라이브러리는 설명서의 일부로 자유롭게 찾아볼 수 있습니다. 로그 주입 결함을 찾는 새로운 감지기의 경우 표준 가격이 적용됩니다. 자세한 내용은 CodeGuru 요금 페이지를 참조하십시오.
지금 Amazon CodeGuru Reviewer를 사용하여 코드 보안을 개선하십시오.
— Danilo