亚马逊最近宣布将亚马逊CodeGuru Reviewer与GitHub Actions进行CI/CD整合。此外,该云供应商还发布了20个新的Java安全检测器,用来识别问题以及遵循最佳的安全实践。
得益于这项新功能,在GitHub中执行pull请求或向主分支推送变更的操作将可以触发对变更的代码行的扫描,安排管道运行将触发对整个仓库的全面扫描。亚马逊CodeGuru Reviewer一年前开始普遍使用,它是一个开发者工具,利用机器学习来检测Java和Python中的潜在缺陷,并提供改进建议。
CodeGuru Reviewer的新检测器旨在帮助识别安全漏洞并检查Java代码中的安全最佳实践,它依赖于十大OWASP类别、AWS API的最佳安全实践以及常见的加密库。
AWS的高级开发者、倡导者Alex Casalboni 解释了与GitHub Actions的整合将如何帮助开发者:
作为一个开发者或开发团队,你每天都会有新的代码,并希望在开发的早期发现安全漏洞,最好是在每次推送的时候。在审查拉动请求(PR)时,所有代码大师的建议都会以评论的形式出现,就像您在PR上多了一双眼睛一样。这些评论包括帮助您解决问题的有用链接。当你推送新代码或安排代码审查时,建议会出现在GitHub上的‘安全>代码扫描警报’标签中。
与GitHub的整合,对Python的支持,以及最近宣布的AWS BugBust,表明由ML驱动的开发者工具的市场在增加来改善编码。
AWS提供了一个样本代码库来展示亚马逊CodeGuru Reviewer的功能。
