Amazon Web Services 한국 블로그

Amazon CodeGuru Reviewer 신규 기능 – 로그 주입 결함에 대한 감지 라이브러리 및 보안 감지기

Amazon CodeGuru Reviewer는 코드의 보안 취약점을 감지하고 코드 품질을 개선하기 위한 지능형 권장 사항을 제공하는 개발자 도구입니다. 예를 들어, CodeGuru Reviewer는 JavaPython 코드용 Security Detectors를 도입하여 상위 10개 OWASP(Open Web Application Security Project) 범주에서 보안 위험을 식별하고 AWS API 및 공통 암호화 라이브러리에 대한 보안 모범 사례를 따릅니다. re:Invent에서 CodeGuru Reviewer는 하드 코딩된 비밀을 식별하고 AWS Secrets Manager로 비밀을 보호하기 위한 수정 단계를 제안하는 비밀 감지기를 도입했습니다. 이러한 기능은 배포하기 전에 보안 문제를 찾아 해결하는 데 도움이 됩니다.

오늘 저는 CodeGuru Reviewer의 두 가지 새로운 기능을 공유하게 되어 기쁩니다.

  • 새로운 감지기 라이브러리는 CodeGuru Reviewer가 가능한 결함을 찾을 때 사용하는 감지기를 자세히 설명하고 Java 및 Python용 코드 샘플을 포함합니다.
  • 이 블로그 게시물에서 설명한 최근 Apache Log4j에서 발생한 취약점과 유사한 Java 및 Python 코드에서 로그 주입 결함을 감지하기 위한 새로운 보안 감지기가 도입되었습니다.

이 새로운 기능에 대해 자세히 살펴보겠습니다.

감지기 라이브러리 사용
CodeGuru Reviewer가 코드를 검토하는 데 사용하는 감지기를 더 명확하게 이해할 수 있도록 이제 자세한 정보와 코드 샘플을 찾을 수 있는 감지기 라이브러리를 공유하겠습니다.

이러한 감지기는 AWS에서 안전하고 효율적인 애플리케이션을 구축하는 데 도움이 됩니다. 감지기 라이브러리에서 설명, 심각도 및 애플리케이션에 미치는 잠재적 영향, 위험을 완화하는 데 도움이 되는 추가 정보를 포함하여 CodeGuru Reviewer의 보안 및 코드 품질 감지기에 대한 자세한 정보를 찾을 수 있습니다.

각 감지기는 광범위한 코드 결함을 찾습니다. 각 감지기에는 하나의 비준수 및 규정 준수 코드 예제가 포함되어 있습니다. 그러나 CodeGuru는 기계 학습과 자동화된 추론을 사용하여 가능한 문제를 식별합니다. 이러한 이유로 각 감지기는 감지기의 설명 페이지에 표시된 명시적 코드 예제 외에도 다양한 결함을 찾을 수 있습니다.

몇 가지 감지기를 살펴보겠습니다. 한 감지기는 감지 수준이 너무 낮아 신뢰할 수 없거나 악의적인 출처에서 콘텐츠까지도 로드할 수 있는 안전하지 않은 교차 출처 리소스 공유(CORS) 정책을 찾고 있습니다.

감지기 라이브러리 스크린샷.

또 다른 감지기는 공격을 활성화하고 원치 않는 동작을 유발할 수 있는 부적절한 입력 검증을 검사합니다.

감지기 라이브러리 스크린샷.

특정 감지기를 사용하면 애플리케이션에서 Java용 AWS SDKPython용 AWS SDK(Boto3)를 사용할 수 있습니다. 예를 들어 암호 및 액세스 키와 같은 하드 코딩된 자격 증명 또는 비효율적인 AWS 리소스 폴링을 감지할 수 있는 감지기가 있습니다.

로그 주입 결함에 대한 새로운 감지기
최근 Apache Log4j 취약성 이후, CodeGuru Reviewer에 새로운 감지기를 도입하여 삭제되지 않고 실행 가능성이 있는 항목을 로깅하고 있는지 확인합니다. 이러한 감지기는 CWE-117: 로그에 대한 부적절한 출력 중립화에 설명된 문제를 처리합니다.

이러한 감지기는 Java 및 Python 코드와 함께 작동하며, Java의 경우 Log4j 라이브러리에 국한되지 않습니다. 사용하는 라이브러리 버전을 보고 작동하는 것이 아니라 실제로 로깅하는 항목을 확인합니다. 이러한 방식으로 향후 유사한 버그가 발생할 경우 사용자를 보호할 수 있습니다.

감지기 라이브러리 스크린샷.

이러한 감지기에 이후 사용자가 제공한 입력은 기록되기 전에 삭제되어야 합니다. 이렇게 하면 공격자가 이 입력을 사용하여 로그 무결성을 손상하거나 로그 항목을 위조하거나 로그 모니터를 우회할 수 없게 됩니다.

가용성 및 요금
오늘 발표한 새로운 기능은 Amazon CodeGuru가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. 자세한 내용은 AWS 리전 서비스 목록을 참조하세요.

감지기 라이브러리는 설명서의 일부로 자유롭게 찾아볼 수 있습니다. 로그 주입 결함을 찾는 새로운 감지기의 경우 표준 가격이 적용됩니다. 자세한 내용은 CodeGuru 요금 페이지를 참조하십시오.

지금 Amazon CodeGuru Reviewer를 사용하여 코드 보안을 개선하십시오.

Danilo