Amazon Q与AI修复方案助力安全开发

Amazon Q与AI修复方案助力安全开发

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Amazon CodeGuru Developer， Secure Software Development， Ai-Powered Code Analysis， Continuous Vulnerability Scanning， Generative Ai Recommendations， Software Development Lifecycle]

导读

通过在软件开发生命周期（SDLC）中使用亚马逊云科技提供的服务来提升您的安全态势。在集成开发环境（IDE）中使用Amazon Q Developer进行代码提交前扫描，在CI/CD管道中使用Amazon CodeGuru阻止不安全的部署，并在运行时使用Amazon Inspector进行持续扫描。利用生成式AI的力量来自动修复安全问题。本次会话将演示如何无缝集成这些服务，使您能够在整个SDLC过程中主动识别和缓解漏洞，确保从代码到生产环境的全面安全。

演讲精华

以下是小编为您整理的本次演讲的精华。

在亚马逊云科技 re:Invent 2024大会上，亚马逊云科技主要市场推广专家Emil Lurch就如何利用亚马逊云科技工具和服务组合来确保软件开发生命周期(SDLC)的安全性进行了全面的演讲。重点是利用人工智能(AI)和机器学习(ML)能力在软件应用程序的开发、部署和运营阶段检测并修复问题。

Emil首先强调了提高整个SDLC安全态势的重要性。他解释说，从最初的规划和需求收集阶段开始，安全性就应该是首要任务，贯穿设计、开发、测试，最终部署到生产环境的各个阶段。这种被称为“左移”的主动安全方法旨在尽早解决软件开发过程中潜在的漏洞和风险。

Amazon CodeGuru Developer是一款强大的AI驱动工具，在SDLC的早期阶段发挥关键作用。它可以帮助开发人员收集需求、设计架构，并遵循亚马逊云科技控制台和文档中的最佳实践。CodeGuru Developer最近的增强功能使开发人员能够就其亚马逊云科技基础设施提出疑问，并获得有关最佳配置的指导，从而促进更加安全高效的开发环境。

在集成开发环境(IDE)中，CodeGuru Developer可以分析现有代码库、阐明模式和架构，并在开发人员编写新代码时提供实时建议。它提供了大量功能，包括README生成(/doc)、通过聊天界面进行交互式编码，以及功能开发(/dev)。后者允许开发人员根据指定的需求生成完整的功能，包括代码、文档和测试，从而加快开发进程，同时保持高水平的安全性和质量。

在编写代码的同时，CodeGuru Developer会持续扫描潜在的安全问题，并生成单元测试(/test)以确保全面的代码覆盖率和稳健性。此外，它还会进行彻底的代码审查，识别次优代码、逻辑错误和潜在的安全漏洞。在re:Invent 2024大会上宣布的一项突破性能力是直接从代码审查界面生成修复，使开发人员能够更高效、更准确地修复已识别的问题。

一旦代码部署到生产环境，CodeGuru Developer将继续在亚马逊云科技控制台为EC2、Lambda和EKS等服务提供有价值的故障排查和问题解决帮助。新推出的CodeGuru Developer Investigations功能利用生成式AI来审查操作日志，并提供有关操作问题根本原因的假设，从而实现更快的解决和最小化停机时间。

随着软件系统的发展和升级或迁移需求，CodeGuru Developer提供代码转换功能(/transform)，以便无缝地将代码库转换到更新的语言版本或框架。re:Invent 2024大会上的一个值得注意的公告是.NET升级功能的预览版本发布，允许开发人员更轻松高效地升级其.NET代码库。

为了展示CodeGuru Developer代码审查功能的强大，Emil现场演示了/review功能。他展示了它如何识别代码库中的问题、提供详细解释，并使开发人员能够直接在IDE中生成修复。这种流程不仅提高了代码质量，而且通过主动解决潜在漏洞，促进了更加安全的开发环境。

在一个重大发展中，亚马逊云科技宣布与GitLab建立合作伙伴关系，使开发人员能够在合并请求期间直接在GitLab环境中启动CodeGuru Developer审查。这种集成确保了在将更改合并到主代码库之前，代码安全性得到了彻底评估，进一步加强了对维护安全SDLC的承诺。

在代码离开开发人员的工作站后，CodeGuru Security和Amazon Inspector等其他工具将用于进一步的安全扫描和分析。CodeGuru Security与CodeGuru Developer的审查过程无缝集成，可以在CodeBuild和CodePipeline等CI/CD管道以及GitHub Actions等第三方工具中调用。

CodeGuru Security扫描代码存储库或S3存储桶中的安全漏洞，并在亚马逊云科技控制台仪表板上显示已识别的发现结果。开发人员可以配置管道，根据发现的漏洞的不同严重级别来失败构建，确保只有安全的代码才能通过部署管道。

一旦代码部署到生产环境，Amazon Inspector接手持续扫描和监控漏洞。Inspector能够扫描各种计算平台，包括EC2、Lambda以及ECS或EKS中的容器化工作负载。

对于EC2实例，Inspector提供基于代理的扫描模式，其中SSM代理安装在实例上，以及混合扫描模式，该模式创建EBS卷的快照以进行无代理扫描。这种混合方法提供了灵活性，并适应客户可能不希望安装代理或授予SSM服务网络连接权限的场景。

在Amazon ECR(Elastic Container Registry)的上下文中，Inspector提供了超越ECR包含的基本扫描的增强扫描功能。这些增强功能涵盖了操作系统包和应用程序使用的第三方依赖项，确保对容器化工作负载进行全面的安全分析。

对于Amazon Lambda函数，Inspector提供两种扫描模式:标准扫描用于检查包漏洞，代码扫描用于检测代码级别的漏洞，如SQL注入或硬编码的密钥。通过启用代码扫描，开发人员可以受益于Inspector识别和缓解应用程序代码本身中的漏洞的能力，除了扫描第三方依赖项之外。

Inspector与Amazon Security Hub无缝集成，自动将已识别的发现结果发送到集中的Security Hub控制台，以实现可见性和事件管理。这种集成简化了安全监控和响应流程，使安全团队能够及时解决漏洞并缓解风险。

值得注意的是，Amazon Inspector利用生成式AI为缓解漏洞提供建议，建议代码更改。这种创新方法创建了一个从运营阶段回到SDLC创建阶段的反馈循环，允许开发人员根据Inspector提供的见解和建议不断改进和保护其应用程序。

在整个演讲过程中，Emil强调了采用全面和集成的方法来确保SDLC安全的重要性。亚马逊云科技提供了一套强大的工具和服务，包括Amazon CodeGuru、Developer、Inspector和CodeGuru Security，利用AI和机器学习在软件开发过程的每个阶段检测问题、生成修复和提供建议。

通过采用这些工具并遵循最佳实践，开发人员可以更高效地构建和维护安全的应用程序，同时最大限度地降低漏洞风险，并确保符合行业标准和法规。

Emil在亚马逊云科技 re:Invent 2024大会上的演讲突出了该公司致力于为开发人员提供尖端技术和解决方案的承诺，这些技术和解决方案优先考虑整个软件开发生命周期的安全性。随着对安全且健壮的应用程序需求不断增长，亚马逊云科技的创新产品使开发人员和组织能够直面这些挑战，促进更加安全和有弹性的数字化环境。

下面是一些演讲现场的精彩瞬间：

Emil Lurch是亚马逊云科技的一位主要上市专家，他介绍了自己并讨论了如何在整个软件开发生命周期中改善安全态势，重点关注CodeGuru Developer。

CodeGuru Developer持续扫描代码以发现安全漏洞，并生成单元测试以进行全面测试。

CodeGuru Developer审查提供了代码质量问题的全面总结，包括缺少检查、高循环复杂度以及简化代码的建议，同时保持功能不变。

演讲者展示了一个代码审查工具，该工具分析代码以优化和发现安全问题，提供总结、突出显示有问题的代码部分、详细解释问题并提供生成修复或忽略问题的选项。

Amazon CodeGuru服务与开发工作流程无缝集成，提供实时代码审查并识别潜在的安全漏洞，如SQL注入，确保代码质量和安全性。

亚马逊云科技 CodeArtifact Action允许扫描代码存储库、存档、容器和二进制文件，以生成依赖项的Software材料清单(SBOM)。

Amazon Inspector提供对已部署软件的持续漏洞扫描，并提供建议，通过代码更改快速缓解和解决这些漏洞。

总结

在这个富有洞见的演讲中，来自亚马逊云科技的Emil Lurch和Casey Lee深入探讨了利用AI驱动工具来确保软件开发生命周期(SDLC)安全的重要性。他们强调了向左移动安全的需求，从最初的规划和设计阶段到部署和运营阶段都要融入安全性。

Emil强调了Amazon CodeGuru Developer如何在整个SDLC中协助开发人员，提供AI驱动的建议、代码审查、测试生成，甚至在IDE中进行功能开发。最新的增强功能包括计费洞察、基础设施查询、自动生成自述文件和对话式编码。CodeGuru Developer还可以利用生成式AI进行故障排查、代码转换和操作日志调查。

Casey随后讨论了Amazon Inspector，这是一项持续监控已部署软件在各种计算平台(如EC2、Lambda和容器化工作负载)上的漏洞的服务。Inspector生成软件材料清单(SBOMs)来识别依赖项和漏洞，与CI/CD管道集成，并提供由生成式AI驱动的修复建议。

核心信息是要采用安全优先的方法，在整个SDLC中利用AI驱动的工具来编写、审查、部署和运行安全软件，同时持续监控新出现的漏洞并实施AI建议的修复措施。这种全面的策略使开发人员和安全团队能够主动解决安全问题，并维护一个健壮、有弹性的软件生态系统。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。