本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Q 开发者版进行代码审查
Amazon Q 开发者版可以审查您的存储库中是否存在安全漏洞和代码质量问题,从而改善整个开发周期内应用程序的状况。您可以查看整个代码库,分析本地项目或工作区中的所有文件,或者查看单个文件。您还可以启用 auto reviews,以便在您编写代码时对其进行评估。
代码审查功能由生成式人工智能和基于规则的自动推理技术共同提供支持。Amazon Q 探测器以多年的经验 AWS 和 Amazon.com 安全最佳实践为依据,为基于规则的安全和质量审查提供支持。随着安全策略的更新和探测器的添加,审查会自动加入新的检测器,以确保您的代码符合大多数 up-to-date策略。
有关支持 IDEs 此功能的信息,请参阅支持 IDEs。有关支持的语言的信息,请参阅对代码审查的语言支持。
工作方式
在代码审查期间,Amazon Q 会同时评估您的自定义代码和代码中引用的第三方库。在开始代码审查之前,Amazon Q 会先执行筛选操作,确保仅审查相关代码;筛选过程中,Amazon Q 会排除不支持的语言、测试代码及开源代码。
Amazon Q 可以查看您最近的代码更改,也可以查看整个文件或项目。要启动审查,请在 IDE 中打开您的代码文件夹,然后让 Amazon Q 在聊天面板中查看您的代码。
默认情况下,如果您只是让 Amazon Q 审阅您的代码,它将只审查 IDE 中活动文件中的代码更改。代码更改由文件中git diff命令的输出决定。如果不存在差异文件,Amazon Q 将审查整个代码文件。如果未打开任何文件,它将搜索项目中的任何代码更改以进行审查。
同样,如果您让 Amazon Q 审查您的整个项目或工作空间,它将首先尝试审查您的代码更改。如果不存在差异文件,它将审查您的整个代码库。
代码问题的类型
Amazon Q 会审查您的代码是否存在以下类型的代码问题:
-
SAST 扫描:检测源代码中的安全漏洞。Amazon Q 可识别各种安全问题,例如资源泄漏、SQL 注入和跨站脚本。
-
机密检测:防止泄露代码中的敏感或机密信息。Amazon Q 会审查您的代码和文本文件以查找硬编码密码、数据库连接字符串和用户名等机密。机密调查结果包括有关未受保护的机密以及如何保护它的信息。
-
IaC 问题:评估基础设施文件的安全状况。Amazon Q 可以审查您的基础设施即代码(IaC)代码文件,以检测配置错误、合规性和安全问题。
-
代码质量问题:确保代码符合质量、可维护性和效率标准。Amazon Q 会生成与各种质量问题相关的代码问题,包括但不限于性能问题、机器学习规则和 AWS 最佳实践等问题。
-
代码部署风险:评估与部署代码相关的风险。Amazon Q 会判断在部署或发布代码期间是否存在风险,包括应用程序性能风险和业务运营中断风险。
-
软件组成分析(SCA):评估第三方代码。Amazon Q 会检查代码中集成的第三方组件、库、框架及依赖项,确保第三方代码安全且为最新。
有关 Amazon Q 用于代码审查的完整检测器列表,请参阅 Amazon Q 检测器库。
限额
Amazon Q 安全扫描功能可保持以下配额:
-
输入构件大小:IDE 项目工作区内所有文件的最大大小,包括第三方库、构建 JAR 文件和临时文件。
-
源代码大小:Amazon Q 在筛选所有第三方库和不支持的文件后扫描的源代码最大大小。
下表描述了为自动扫描和完整项目扫描保持的配额。
| 资源 | 自动审查 | 文件或项目审查 |
|---|---|---|
| 输入构件大小 | 200 KB | 500 MB |
| 源代码大小 | 200 KB | 50 MB |
