Amazon Web Services (AWS) actualizó los ‘detectores’ en su herramienta CodeGuru Reviewer para buscar fallas de inyección de registro como el error Log4Shell recientemente revelado en la popular biblioteca de registro de Java Log4J.
Los errores críticos de Log4J, denominados colectivamente Log4Shell después de su divulgación en diciembre, impulsaron a la industria tecnológica y a las organizaciones de usuarios finales a realizar esfuerzos de remediación masiva que pueden haber evitado ataques importantes hasta la fecha, pero se espera que permanezcan ocultos en los sistemas durante años.
En ese momento, AWS lanzó varias herramientas para ayudar a los clientes a proteger los recursos, como las nuevas reglas de firewall de aplicaciones web y actualizaciones de su herramienta Inspector para detectar la vulnerabilidad en instancias EC2 VM.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
AWS tiene ahora anunció dos nuevas características para CodeGuru Reviewer, el escáner de AWS que utiliza el aprendizaje automático para verificar el código durante las revisiones de errores y sugerir mejoras para problemas de seguridad. La herramienta tiene como objetivo mejorar las revisiones de código en el contexto de los procesos de integración y desarrollo continuo (CI/CD) para desarrolladores con código. Después de que los desarrolladores confirmen código para, por ejemplo, GitHub o Bitbucket, pueden agregar CodeGuru Reviewer como revisor de código.
Las nuevas características ayudan a desarrollar los controles de seguridad del servicio. El año pasado, agregó la Detector de secretos del revisor de CodeGuruque detecta secretos codificados de riesgo en el código fuente y archivos de configuración para aplicaciones Java y Python, como contraseñas y claves de acceso API.
Las nuevas características de CodeGuru Review son una nueva Biblioteca de detectores para varias fallas de seguridad comunes que afectan a las aplicaciones web de Java y Python, así como varios detectores de seguridad nuevos dirigidos específicamente a fallas de inyección de registros similares a Log4Shell.
La Biblioteca de detectores contiene una lista de varios detectores para varios defectos comunes a la programación de Java y Python, como solicitudes LDAP no autenticadas en código Java. Ofrece detalles sobre cada problema de seguridad, su gravedad e impacto en una aplicación, y un caso de código no compatible y compatible para cada problema. La biblioteca actualmente contiene 91 detectores Java y 69 detectores Python.
AWS señala que CodeGuru «utiliza el aprendizaje automático y el razonamiento automatizado» para identificar posibles problemas, de modo que cada detector pueda encontrar una variedad de defectos además del ejemplo en la página de descripción del detector.
En respuesta a Log4Shell, AWS introdujo un detector más general para fallas similares que verifica si los desarrolladores están registrando datos que «no están desinfectados y posiblemente ejecutables».
Si encuentra un ejemplo de dicho código, advierte que «las entradas proporcionadas por el usuario deben desinfectarse antes de que se registren. Un atacante puede usar una entrada no desinfectada para romper la integridad de un registro, falsificar entradas de registro o eludir los monitores de registro». Luego proporciona ejemplos de código no compatible y compatible.
«Estos detectores funcionan con código Java y Python y, para Java, no se limitan a la biblioteca Log4j», señala AWS.
«No funcionan mirando la versión de las bibliotecas que usa, sino que verifican lo que realmente está registrando. De esta manera, pueden protegerlo si ocurren errores similares en el futuro».
El servicio tiene un costo, pero podría ayudar a aliviar los problemas de las organizaciones que enfrentan escasez de desarrolladores o habilidades de seguridad.
Las nuevas funciones están disponibles donde CodeGuru Reviewer está disponible, lo que incluye regiones seleccionadas de AWS de EE. UU., Europa y Asia Pacífico. Precios de CodeGuru Reviewer comienza en $10 al mes por las primeras 100 000 líneas de código en repositorios integrados y cobra $30 al mes por cada 100 000 líneas de código adicionales.
