本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon Q 开发者版进行代码审查
Amazon Q 开发者版可以审查您的存储库中是否存在安全漏洞和代码质量问题,从而改善整个开发周期内应用程序的状况。您可以查看整个代码库,分析本地项目或工作区中的所有文件,或者查看单个文件。您还可以启用 auto reviews,以便在您编写代码时对其进行评估。
代码审查功能由生成式人工智能和基于规则的自动推理技术共同提供支持。[Amazon Q 探测器](https://docs.aws.amazon.com/codeguru/detector-library)以多年的经验 AWS 和 Amazon.com 安全最佳实践为依据,为基于规则的安全和质量审查提供支持。随着安全策略的更新和探测器的添加,审查会自动加入新的检测器,以确保您的代码符合大多数 up-to-date策略。
有关支持 IDEs 此功能的信息,请参阅[支持 IDEs](q-in-IDE.md#supported-ides-features)。有关支持的语言的信息,请参阅[对代码审查的语言支持](q-language-ide-support.md#code-reviews-language-support)。
**Topics**
+ [工作方式](#how-code-reviews-work)
+ [代码问题的类型](#issue-types)
+ [限额](#quotas)
+ [使用 Amazon Q 开发者版启动代码审查](start-review.md)
+ [使用 Amazon Q 开发者版解决代码问题](address-code-issues.md)
+ [筛选代码问题](filter-code-issues.md)
+ [Amazon Q 开发者版代码审查中的代码问题严重级别](code-issue-severity.md)
## 工作方式
在代码审查期间,Amazon Q 会同时评估您的自定义代码和代码中引用的第三方库。在开始代码审查之前,Amazon Q 会先执行筛选操作,确保仅审查相关代码;筛选过程中,Amazon Q 会排除不支持的语言、测试代码及开源代码。
Amazon Q 可以查看您最近的代码更改,也可以查看整个文件或项目。要启动审查,请在 IDE 中打开您的代码文件夹,然后让 Amazon Q 在聊天面板中查看您的代码。
默认情况下,如果您只是让 Amazon Q 审阅您的代码,它将只审查 IDE 中活动文件中的代码更改。代码更改由文件中`git diff`命令的输出决定。如果不存在差异文件,Amazon Q 将审查整个代码文件。如果未打开任何文件,它将搜索项目中的任何代码更改以进行审查。
同样,如果您让 Amazon Q 审查您的整个项目或工作空间,它将首先尝试审查您的代码更改。如果不存在差异文件,它将审查您的整个代码库。
## 代码问题的类型
Amazon Q 会审查您的代码是否存在以下类型的代码问题:
+ **SAST 扫描:检测源代码中的安全漏洞。**Amazon Q 可识别各种安全问题,例如资源泄漏、SQL 注入和跨站脚本。
+ **机密检测:防止泄露代码中的敏感或机密信息。**Amazon Q 会审查您的代码和文本文件以查找硬编码密码、数据库连接字符串和用户名等机密。机密调查结果包括有关未受保护的机密以及如何保护它的信息。
+ **IaC 问题:评估基础设施文件的安全状况。**Amazon Q 可以审查您的基础设施即代码(IaC)代码文件,以检测配置错误、合规性和安全问题。
+ **代码质量问题:确保代码符合质量、可维护性和效率标准。**Amazon Q 会生成与各种质量问题相关的代码问题,包括但不限于性能问题、机器学习规则和 AWS 最佳实践等问题。
+ **代码部署风险:评估与部署代码相关的风险。**Amazon Q 会判断在部署或发布代码期间是否存在风险,包括应用程序性能风险和业务运营中断风险。
+ **软件组成分析(SCA):评估第三方代码。**Amazon Q 会检查代码中集成的第三方组件、库、框架及依赖项,确保第三方代码安全且为最新。
有关 Amazon Q 用于代码审查的完整检测器列表,请参阅 [Amazon Q 检测器库](https://docs.aws.amazon.com/codeguru/detector-library/)。
## 限额
Amazon Q 安全扫描功能可保持以下配额:
+ **输入构件大小**:IDE 项目工作区内所有文件的最大大小,包括第三方库、构建 JAR 文件和临时文件。
+ **源代码大小**:Amazon Q 在筛选所有第三方库和不支持的文件后扫描的源代码最大大小。
下表描述了为自动扫描和完整项目扫描保持的配额。
| 资源 | 自动审查 | 文件或项目审查 |
| --- | --- | --- |
| 输入构件大小 | 200 KB | 500 MB |
| 源代码大小 | 200 KB | 50 MB |
# 使用 Amazon Q 开发者版启动代码审查
Amazon Q 可以查看您的整个文件或代码库,或者在您编写代码时自动查看代码。
在开始之前,请确保您已在支持代码审查功能的 IDE 中安装了 Amazon Q。有关更多信息,请参阅 [在 IDE 中安装 Amazon Q 开发者版扩展程序或插件](q-in-IDE-setup.md)。
**Topics**
+ [查看文件、项目或工作空间](#project-review)
+ [示例任务和提示](#code-review-prompts)
+ [在编写代码时审查](#auto-scan)
## 查看文件、项目或工作空间
您可以通过聊天面板发起审核,让 Amazon Q 审核特定的文件或项目。文件与项目审查同时包含基于规则的审查和生成式人工智能驱动的审查,
Amazon Q 完成审核后,您可以调查问题并获取代码修复以修复问题。有关更多信息,请参阅[解决代码问题](address-code-issues.md)。
要开始审阅文件或项目,请在 IDE 中完成以下步骤:
------
#### [ JetBrains ]
1. 在 IDE 中打开要审查的文件或项目。
1. 选择 Amazon Q 图标以打开聊天面板。
1. 使用自然语言描述您要执行的代码审查类型。您可以仅审查最近的代码更改,也可以审查整个文件。代码更改是根据文件上 git diff 命令的输出来确定的。如果适用,除非另有说明,否则默认情况下,Amazon Q 只会审查您的代码更改。
1. 在 IDE 中打开代码项目或文件后,您可以输入类似以下内容:
1. **Review my code changes**— Amazon Q 将审查您的代码库中的任何代码更改
1. **Run a code review on this entire file**— Amazon Q 将审查您文件中的所有代码,而不仅仅是更改
1. **Review this repository**— Amazon Q 将审查您的整个代码库,而不仅仅是更改
有关更详细的代码审查场景和相关提示,请参阅[示例提示](#code-review-prompts)。
1. Amazon Q 将开始审查您的文件或项目。完成后,它会总结最高优先级的问题和意见。
1. 如果检测到任何问题,则会打开 “**代码问题**” 选项卡,其中列出了 Amazon Q 发现的问题。
1. 要了解有关代码问题的更多信息,请导航到 “**代码问题**” 面板。在那里,您可以执行下列操作:
1. 选择一个问题,以重定向到在其中检测到漏洞或低质量代码的文件的特定区域。
1. 要获取代码问题的解释,请选择代码问题名称旁边的放大镜图标。Amazon Q 将提供有关该问题的详细信息,并建议可插入代码中的修复方案。
1. 要修复代码问题,请选择代码问题名称旁边的扳手图标。Amazon Q 将简要解释修复方案,然后在您的代码文件中进行就地修复。您将在文件中看到代码更改,并且可以从聊天面板选择撤销该更改。
1. 您还可以使用自然语言来询问有关问题的更多信息,获取对拟议修复的解释或询问其他解决方案。
1. 有关解决代码问题的更多信息,请参阅[使用 Amazon Q 开发者版解决代码问题](address-code-issues.md)。
------
#### [ Visual Studio Code ]
1. 在 IDE 中打开要审查的文件或项目。
1. 选择 Amazon Q 图标以打开聊天面板。
1. 使用自然语言描述您要执行的代码审查类型。您可以仅审查最近的代码更改,也可以审查整个文件。代码更改是根据文件上 git diff 命令的输出来确定的。如果适用,除非另有说明,否则默认情况下,Amazon Q 只会审查您的代码更改。
1. 在 IDE 中打开代码项目或文件后,您可以输入类似以下内容:
1. **Review my code changes**— Amazon Q 将审查您的代码库中的任何代码更改
1. **Run a code review on this entire file**— Amazon Q 将审查您文件中的所有代码,而不仅仅是更改
1. **Review this repository**— Amazon Q 将审查您的整个代码库,而不仅仅是更改
有关更详细的代码审查场景和相关提示,请参阅[示例提示](#code-review-prompts)。
1. Amazon Q 将开始审查您的文件或项目。完成后,它会总结最高优先级的问题和意见。
1. 如果检测到任何问题,则会打开 “**代码问题**” 选项卡,其中列出了 Amazon Q 发现的问题。
1. 要了解有关代码问题的更多信息,请导航到 “**代码问题**” 面板。在那里,您可以执行下列操作:
1. 选择一个问题,以重定向到在其中检测到漏洞或低质量代码的文件的特定区域。
1. 要获取代码问题的解释,请选择代码问题名称旁边的放大镜图标。Amazon Q 将提供有关该问题的详细信息,并建议可插入代码中的修复方案。
1. 要修复代码问题,请选择代码问题名称旁边的扳手图标。Amazon Q 将简要解释修复方案,然后在您的代码文件中进行就地修复。您将在文件中看到代码更改,并且可以从聊天面板选择撤销该更改。
1. 您还可以使用自然语言来询问有关问题的更多信息,获取对拟议修复的解释或询问其他解决方案。
1. 有关解决代码问题的更多信息,请参阅[使用 Amazon Q 开发者版解决代码问题](address-code-issues.md)。
------
#### [ Visual Studio ]
1. 在 Visual Studio 中打开要扫描的项目中的文件。
1. 选择文件底部的 Amazon Q 图标以打开 Amazon Q 任务栏。
1. 从任务栏中选择**运行安全扫描**。Amazon Q 开始扫描您的项目。
在下图中,在 Visual Studio 中,用户选择 **Amazon Q** 图标,系统显示了任务栏,用户可以从中选择**运行安全扫描**。
![\[Visual Studio 中的 Amazon Q 任务栏显示“运行安全扫描”选项\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/VS-scans.png)
1. 您的扫描状态将在 Visual Studio 输出窗格中更新。扫描完成后,您会收到通知。
有关查看和处理扫描结果的信息,请参阅[使用 Amazon Q 开发者版解决代码问题](address-code-issues.md)。
------
## 示例任务和提示
在启动代码审查时,您可能会遇到多种情况。以下概述了启动代码审查的一些方法以及如何提示 Amazon Q 运行您想要的审查。
+ 要仅查看单个文件的代码更改,请执行以下操作:
+ 在 IDE 中打开该文件并输入 **Review my code**
+ 输入 **Review the code in **
+ 要查看整个代码文件,请执行以下操作:
+ 打开未做任何更改的文件并输入 **Review my code**
+ 打开包含更改的文件并输入 **Review my entire code file**
+ 输入 **Review all the code in **
+ 要查看仓库中的所有代码更改,请执行以下操作:
+ 在 IDE 中打开存储库并输入 **Review my code**
+ 要查看整个存储库,而不仅仅是更改,请执行以下操作:
+ 在 IDE 中打开存储库并输入 **Review my repository**
## 在编写代码时审查
**注意**
只有[订阅 Amazon Q 开发者版专业套餐](getting-started-q-dev.md)后,才可使用 Amazon Q 自动审查功能。
自动审查是基于规则的审查,由 [Amazon Q 检测器](https://docs.aws.amazon.com/codeguru/detector-library/)提供支持。Amazon Q 会自动审查您正在编码的文件,一旦在您的代码中发现问题,就会立即生成对应的问题记录。执行自动审查时,Amazon Q 不会就地生成代码修复方案。
使用 Amazon Q 时,自动审查功能默认处于启用状态。可通过以下步骤暂停或恢复自动审查。
**暂停和恢复自动审查**
要暂停自动审查,请完成以下步骤。
1. 从 IDE 窗口底部选择 **Amazon Q**。
Amazon Q 任务栏将打开。
1. 选择**暂停自动审查**。要恢复自动审查,请选择**恢复自动审查**。
# 使用 Amazon Q 开发者版解决代码问题
本节主题将说明如何处理和解决代码问题,以及如何忽略问题(如果适用)。
**Topics**
+ [在 JetBrains 和 Visual Studio Code 中解决代码问题](address-issues-jetbrains-visualstudiocode.md)
+ [在 Visual Studio 中解决代码问题](address-issues-visualstudio.md)
# 在 JetBrains 和 Visual Studio Code 中解决代码问题
要在 JetBrains 和 Visual Studio Code 中解决代码问题,需选择生成就地修复方案,也可以生成说明以便手动更新代码。
您可以执行以下操作:
+ 生成就地代码修复方案
+ 解释问题并获取新代码
+ 忽略该问题,或忽略所有类似问题
## 为文件生成就地代码修复方案
Amazon Q 可以就地更新您的文件,自动修复其检测到的代码问题。
要自动修复文件中的代码问题,请执行以下操作:
------
#### [ JetBrains ]
1. 在 “**问题**” 工具窗口的 “**Amazon Q Code 问题**” 选项卡中,选择您要解决的代码问题。
1. 将打开一个面板,其中包含有关代码问题的更多信息。如果适用,您将看到有关用于识别代码问题的 Amazon Q 检测器的详细信息。
1. 在面板底部,选择 “**修复**”。
1. 在聊天面板中,Amazon Q 会简要解释修复方案,然后在您的代码文件中执行就地修复。
1. 您将在文件中看到代码更改,并且可以从聊天面板选择撤销该更改。
------
#### [ Visual Studio Code ]
1. 在**代码问题**选项卡中,选择要解决的代码问题。
1. 选择扳手图标。
下图演示了 Visual Studio Code 中某代码问题对应的扳手图标。
![\[中代码问题的扳手图标Visual Studio Code,用于生成代码修复。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/code-review-fix-vsc.png)
1. 在聊天面板中,Amazon Q 会简要解释修复方案,然后在您的代码文件中执行就地修复。
1. 您将在文件中看到代码更改,并且可以从聊天面板选择撤销该更改。
------
## 解释代码问题并获取新代码
Amazon Q 可以深入解释代码问题,并提供修复方案及随附的新代码,供您添加到文件中。
要了解代码问题的解释,请执行以下操作:
------
#### [ JetBrains IDEs ]
1. 在 “**问题**” 工具窗口的 “**Amazon Q Code 问题**” 选项卡中,选择您要解决的代码问题。
1. 将打开一个面板,其中包含有关代码问题的更多信息。如果适用,您将看到有关用于识别代码问题的 Amazon Q 检测器的详细信息。
1. 在面板底部,选择 “**解释**”。
1. 在聊天面板中,Amazon Q 提供了有关该问题的详细信息并提供了解决方法的建议,并提供了可以插入文件中的代码。
1. 要更新您的文件,请按照 Amazon Q 的说明确定添加或替换代码的位置,并将提供的代码复制到文件中的正确位置。添加更新的代码时,请务必移除易受攻击的代码。
------
#### [ Visual Studio Code ]
1. 在**代码问题**选项卡中,选择要解决的代码问题。
1. 选择放大镜图标。
下图演示了 Visual Studio Code 中某代码问题对应的放大镜图标。
![\[中代码问题的放大镜图标Visual Studio Code,用于解释代码问题。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/code-review-view-details-vsc.png)
1. 在聊天面板中,Amazon Q 提供了有关该问题的详细信息并提供了解决方法的建议,并提供了可以插入文件中的代码。
1. 要更新您的文件,请按照 Amazon Q 的说明确定添加或替换代码的位置,并将提供的代码复制到文件中的正确位置。添加更新的代码时,请务必移除易受攻击的代码。
------
## 忽略代码问题
如果检测到的代码问题不适用,您可以选择忽略该问题,或者忽略该问题及所有类似问题(具有同一 CWE 的问题)。这些问题将从“代码问题”选项卡中移除。
要忽略代码问题,请执行以下操作:
------
#### [ JetBrains ]
1. 在 “**问题**” 工具窗口的 “**Amazon Q Code 问题**” 选项卡中,选择要忽略的代码问题。
1. 将打开一个面板,其中包含有关代码问题的更多信息。在面板底部,选择 “**忽略**”。代码问题已从 “代码问题” 面板中删除。
1. 您也可以选择 “**全部忽略**” 来忽略此问题以及同一 CWE 的其他代码问题。
------
#### [ Visual Studio Code ]
1. 在 “**代码问题**” 选项卡中,选择要忽略的代码问题。
1. 选择忽略图标。
下图演示了 Visual Studio Code 中某代码问题对应的忽略图标。
![\[中代码问题的忽略图标Visual Studio Code,用于忽略和关闭代码问题。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/code-review-ignore-issue-vsc.png)
1. 代码问题已从 “代码问题” 面板中删除。
1. 要忽略类似的问题,请选择省略号图标,然后选择出现的**忽略类似问题**按钮。
------
# 在 Visual Studio 中解决代码问题
要在 Visual Studio 中查看 Amazon Q 检测到的代码问题,请展开 Visual Studio 主菜单中的**查看**标题并选择**错误列表**,打开 Visual Studio **错误列表**。
您可以使用代码问题中的信息来更新代码。更新代码后,再次审查您的代码,确认问题是否得到解决。
默认情况下,Visual Studio **错误列表**会显示您的代码库的所有警告和错误。要从 Visual Studio **错误列表**中筛选出 Amazon Q 代码问题,请完成以下流程以创建筛选器。
**注意**
只有在您运行代码审查并且 Amazon Q 检测到问题后,代码问题才会显示。
在 Visual Studio 中,代码问题以警告形式呈现。要查看**错误列表**中 Amazon Q 检测到的问题,必须选择**错误列表**标题中的**警告**选项。
**筛选错误列表中的代码问题**
1. 从 Visual Studio 主菜单中选择“查看”,然后选择**错误列表**打开**错误列表**窗格。
1. 从**错误列表**窗格中,右键单击标题行,以打开上下文菜单。
1. 在上下文菜单中,展开**显示列**,然后在展开的菜单中选择**工具**。
1. **工具**列已添加到您的**错误列表**中。
1. 从**工具**列标题中,选择**筛选**图标并选择 **Amazon Q** 以筛选 Amazon Q 代码问题。
# 筛选代码问题
**注意**
您只能在JetBrains IDEs 和中筛选代码问题Visual Studio Code。
筛选代码问题时,“代码问题”面板中仅会显示符合所选条件的问题。您可以根据问题的严重性筛选问题,这样您就只能在面板中看到与所选严重性相关的问题。
您还可以在“代码问题”面板中控制代码问题的排列方式,可按严重性或文件位置对问题进行分组。
要筛选代码问题,请执行以下操作:
------
#### [ JetBrains IDEs ]
1. 从 **Amazon Q Code 问题**选项卡中,选择筛选器图标。
1. 将打开一个包含严重性级别的弹出式菜单。
下图显示了中 “代码问题” 选项卡中的 “严重性” 菜单IntelliJ IDEA。
![\[中的严重性筛选器菜单IntelliJ IDEA。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/jb-filter-issues.png)
1. 选择或取消选择要筛选的严重性级别,然后选择 “**确定”**。只有您选择的严重程度的问题才会显示在 **Amazon Q Code 问题**面板中。
------
#### [ Visual Studio Code ]
1. 从**代码问题**面板中,选择筛选器图标。
下图演示了 Visual Studio Code 中“代码问题”选项卡对应的筛选器图标。
![\[Visual Studio Code 中“代码问题”选项卡中的筛选器图标。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/filter-issues-vsc.png)
1. 此时会打开**筛选问题**菜单。
选中或取消选中要筛选的严重性级别旁边的复选框,然后选择 “**确定”**。只有符合您所选严重性的问题才会显示在 “**代码问题**” 面板中。
------
要对代码问题进行分组,请执行以下操作:
------
#### [ JetBrains IDEs ]
1. 从 **Amazon 二维码问题**面板中,选择分组图标。
1. 将打开 “**分组依**据” 弹出式菜单。
1. 选择 “**严重性**”,在 “代码问题” 面板中根据问题的严重性对问题进行分组。选择 “**位置**”,根据议题所在的代码文件对问题进行分组。
------
#### [ Visual Studio Code ]
1. 从**代码问题**面板中,选择分组图标。
下图演示了 Visual Studio Code 中“代码问题”选项卡对应的分组图标。
![\[Visual Studio Code 中“代码问题”选项卡中的分组图标。\]](http://docs.aws.amazon.com/zh_cn/amazonq/latest/qdeveloper-ug/images/group-issues-vsc.png)
1. 此时会打开**分组问题**菜单。
1. 选择 “**严重性**”,在 “代码问题” 面板中根据问题的严重性对问题进行分组。选择 “**位置**”,根据议题所在的代码文件对问题进行分组。
------
# Amazon Q 开发者版代码审查中的代码问题严重级别
Amazon Q 会为检测到的代码问题定义严重级别,帮助您确定问题的处理优先级,并跟踪应用程序的安全状态。以下章节将说明代码问题严重级别的判定方法,以及各级别对应的含义。
## 严重级别的计算方式
代码问题的严重级别由生成该问题的检测器决定。系统会通过通用漏洞评分系统([CVSS](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator))为 [Amazon Q 检测器库](https://docs.aws.amazon.com/codeguru/detector-library)中的每个检测器分配一个严重级别。CVSS 会结合漏洞在实际场景中的可利用性(例如,是否可通过互联网利用、是否需要物理访问权限),以及攻击者可获取的权限级别,来评估严重程度。
下表概述了如何根据攻击者成功攻击系统所需的权限级别和努力水平来判定严重级别。
**严重性确定矩阵**
| 权限级别 | 工作量水平 | 严重性 |
| --- | --- | --- |
| 完全控制系统或其输出 | 需要系统访问权限 | 高 |
| 完全控制系统或其输出 | 努力上网 | 重大 |
| 完全控制系统或其输出 | 通过互联网 | 重大 |
| 访问敏感信息 | 需要系统访问权限 | 中 |
| 访问敏感信息 | 努力上网 | 高 |
| 访问敏感信息 | 通过互联网 | 高 |
| 导致系统崩溃或效率下降 | 需要系统访问权限 | 低 |
| 导致系统崩溃或效率下降 | 努力上网 | 中 |
| 导致系统崩溃或效率下降 | 通过互联网 | 中 |
| 提供额外安全保障 | 不可利用 | 信息 |
| 提供额外安全保障 | 需要系统访问权限 | 信息 |
| 提供额外安全保障 | 努力上网 | 低 |
| 提供额外安全保障 | 通过互联网 | 低 |
| 最佳实践 | 不可利用 | 信息 |
## 严重级别定义
严重级别定义如下:
**严重:应立即解决该代码问题,以防情况恶化。**
严重的代码问题意味着攻击者能以中等程度的努力获取系统控制权或修改系统行为。建议您有限处理严重问题,您还应该考虑资源的重要程度。
**高:该代码问题必须作为近期优先事项来处理。**
高严重级别的代码问题表明,攻击者需付出较大努力才能获取系统控制权或修改系统行为。建议您将高严重级别的问题作为近期优先事项,并立即采取补救措施,您还应该考虑资源的重要程度。
**中等:该代码问题应作为中期优先事项来处理。**
中等严重级别的问题可能导致系统崩溃、无响应或不可用。建议您在方便时尽早调查相关代码,您还应该考虑资源的重要程度。
**低:该代码问题本身无需采取行动。**
低严重级别的问题通常意味着编程错误或反模式。您无需对低严重性问题立即采取行动,但是当您将它们与其他问题关联时,它们可以提供背景信息。
**信息性:无建议的操作。**
信息性问题包含关于质量或可读性改进的建议,或可选 API 操作建议。无需立即采取行动。