Amazon Q Developer でのコードレビュー - Amazon Q Developer
仕組みコードの問題のタイプクォータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer でのコードレビュー

Amazon Q Developer では、開発サイクル全体を通じて、コードベースのセキュリティ上の脆弱性やコード品質の問題をレビューし、アプリケーションのセキュリティを改善できます。コードベース全体を確認したり、ローカルプロジェクトまたはワークスペース内のすべてのファイルを分析したり、単一のファイルを確認したりできます。コードを記述するときに評価する自動レビューを有効にすることもできます。

レビューは、生成 AI とルールベースの自動推論の両方を利用しています。Amazon Q ディテクターは、長年のセキュリティのベストプラクティス AWS と Amazon.com セキュリティのベストプラクティスに基づいており、ルールベースのセキュリティと品質のレビューを強化します。セキュリティポリシーが更新され、ディテクターが追加されると、コードが最新のポリシーに準拠するよう、レビューは自動的に新しいディテクターを組み込みます。

この機能でサポートされている IDE については、「サポートされている IDE」を参照してください。サポートされている言語については、「コードレビューの言語サポート」を参照してください。

トピック

仕組み

コードレビュー中、Amazon Q はカスタムコードとコード内のサードパーティーライブラリの両方を評価します。コードレビューを開始する前に、Amazon Q はフィルタリングを適用して、関連するコードのみがレビューされるようにします。フィルタリングプロセスの一環として、Amazon Q はサポートされていない言語、テストコード、オープンソースコードを除外します。

Amazon Q は、最近のコード変更を確認するか、ファイルまたはプロジェクト全体を確認できます。レビューを開始するには、IDE でコードフォルダを開き、チャットパネルからコードを確認するように Amazon Q に依頼します。

デフォルトでは、コードの確認を Amazon Q に依頼するだけで、IDE のアクティブなファイル内のコード変更のみがレビューされます。コードの変更は、 ファイルの git diff コマンドの出力によって決まります。差分ファイルが存在しない場合、Amazon Q はコードファイル全体を確認します。ファイルが開いていない場合、レビューするプロジェクト内のコード変更を検索します。

同様に、プロジェクトまたはワークスペース全体を確認するように Amazon Q に依頼すると、まずコードの変更を確認しようとします。差分ファイルが存在しない場合は、コードベース全体を確認します。

コードの問題のタイプ

Amazon Q は、次のタイプのコードの問題についてコードをレビューします。

  • SAST スキャン — ソースコードのセキュリティ上の脆弱性を検出します。Amazon Q は、リソースリーク、SQL インジェクション、クロスサイトスクリプティングなど、さまざまなセキュリティ問題を特定します。

  • シークレットの検知 — コードでの機密情報や秘密情報の漏洩を防ぎます。Amazon Q は、コードファイルとテキストファイルをレビューして、ハードコードされたパスワード、データベース接続文字列、ユーザー名などのシークレットを検出します。シークレットの検出結果には、保護されていないシークレットとその保護方法に関する情報が含まれます。

  • IaC の問題スキャン — インフラストラクチャファイルのセキュリティ体制を評価します。Amazon Q は、Infrastructure as Code (IaC) コードファイルをレビューして、設定ミス、コンプライアンス、セキュリティの問題を検出できます。

  • コード品質の問題 — コードが品質、保守性、効率性の基準を満たしているかどうかを確認します。Amazon Q は、パフォーマンス、機械学習ルール、AWS のベストプラクティスなど、さまざまな品質問題に関連するコードの問題を表示します。

  • コードデプロイリスク — コードのデプロイに関連するリスクを評価します。Amazon Q は、アプリケーションのパフォーマンスやオペレーションの中断など、コードをデプロイまたはリリースするリスクがあるかどうかを判断します。

  • ソフトウェアコンポジション分析 (SCA) — サードパーティーのコードを評価します。Amazon Q は、コードに統合されているサードパーティーのコンポーネント、ライブラリ、フレームワーク、依存関係を調べ、サードパーティーのコードが安全かつ最新であることを確認します。

Amazon Q がコードをレビューするために使用するディテクターの一覧については、「Amazon Q Detector Library」を参照してください。

クォータ

Amazon Q セキュリティスキャンは、次のクォータを維持します。

  • 入力アーティファクトサイズ – サードパーティーライブラリ、ビルド JAR ファイル、一時ファイルなど、IDE プロジェクトワークスペース内のすべてのファイルの最大サイズ。

  • ソースコードサイズ – すべてのサードパーティーライブラリとサポートされていないファイルをフィルタリングした後に Amazon Q がスキャンするソースコードの最大サイズ。

次の表は、自動スキャンとフルプロジェクトスキャンで維持されるクォータを示しています。

[リソース] 自動レビュー ファイルまたはプロジェクトのレビュー
入力アーティファクトのサイズ 200 KB 500 MB
ソースコードのサイズ 200 KB 50MB