使用 Amazon Q 开发者版进行代码审查
Amazon Q 开发者版可以审查您的存储库中是否存在安全漏洞和代码质量问题,从而改善整个开发周期内应用程序的状况。您可以启动对整个存储库的审查,分析本地项目或工作空间中的所有文件,或者启用自动审查,在您编写代码时对其进行评估。
在代码审查期间,Amazon Q 会同时评估您的自定义代码和代码中引用的第三方库。在开始代码审查之前,Amazon Q 会先执行筛选操作,确保仅审查相关代码;筛选过程中,Amazon Q 会排除不支持的语言、测试代码及开源代码。
当 Amazon Q 发现您的代码中存在潜在的安全漏洞或质量问题时,它会生成一个代码问题,其中包含问题描述和建议的修复方法。对于某些问题,您可以生成并应用代码修复程序,以便直接更新您的代码文件。
代码审查功能由生成式人工智能和基于规则的自动推理技术共同提供支持。而基于规则的安全性和质量审查由 Amazon Q 检测器提供支持,该检测器的规则源自 AWS 与 Amazon.com 多年积累的安全最佳实践。随着安全策略的更新和检测器的添加,审查会自动加入新的检测器,以确保您的代码符合最新策略。
有关此功能支持的 IDE 的信息,请参阅支持的 IDE。有关支持的语言的信息,请参阅代码审查(使用 /review 命令)支持的语言。
主题
代码问题的类型
Amazon Q 会审查您的代码是否存在以下类型的代码问题:
-
SAST 扫描:检测源代码中的安全漏洞。Amazon Q 可识别各种安全问题,例如资源泄漏、SQL 注入和跨站脚本。
-
机密检测:防止泄露代码中的敏感或机密信息。Amazon Q 会审查您的代码和文本文件以查找硬编码密码、数据库连接字符串和用户名等机密。机密调查结果包括有关未受保护的机密以及如何保护它的信息。
-
IaC 问题:评估基础设施文件的安全状况。Amazon Q 可以审查您的基础设施即代码(IaC)代码文件,以检测配置错误、合规性和安全问题。
-
代码质量问题:确保代码符合质量、可维护性和效率标准。Amazon Q 会生成与各种质量问题相关的代码问题,包括但不限于性能问题、机器学习规则和 AWS 最佳实践等问题。
-
代码部署风险:评估与部署代码相关的风险。Amazon Q 会判断在部署或发布代码期间是否存在风险,包括应用程序性能风险和业务运营中断风险。
-
软件组成分析(SCA):评估第三方代码。Amazon Q 会检查代码中集成的第三方组件、库、框架及依赖项,确保第三方代码安全且为最新。
有关 Amazon Q 用于代码审查的完整检测器列表,请参阅 Amazon Q 检测器库。
配额
Amazon Q 安全扫描功能可保持以下配额:
-
输入构件大小:IDE 项目工作区内所有文件的最大大小,包括第三方库、构建 JAR 文件和临时文件。
-
源代码大小:Amazon Q 在筛选所有第三方库和不支持的文件后扫描的源代码最大大小。
下表描述了为自动扫描和完整项目扫描保持的配额。
| 资源 | 自动审查 | 文件或项目审查 |
|---|---|---|
| 输入构件大小 | 200 KB | 500 MB |
| 源代码大小 | 200 KB | 50 MB |
