如何使用 Amazon Q 免费进行代码安全检查

活动推荐： #生成式 AI 先锋开发者集结令 #

免费体验编程神器，丰厚大奖等你来拿！👉🏻👉🏻https://jinshuju.net/f/rVuKYa

CodeWhisperer 是 Amazon 发布的一款免费的 AI 编程辅助小工具，在辅助程序员编程的同时，还具备代码安全审计的功能。可以快速扫描 Java、JavaScript 和 Python 项目中难以发现的漏洞，并获取代码建议以立即修复这些漏洞。遵循跟踪安全漏洞的最佳实践，例如开放全球应用程序安全项目 (OWASP) 概述的漏洞，或者不符合加密库最佳实践及其他类似安全最佳实践的漏洞。今天小试牛刀，试验一下 CodeWhisperer 的代码安全检查能力，成功识别出 Python 代码中可能存在的系统命令注入漏洞、SQL 注入漏洞、MD5 碰撞漏洞以及反序列化漏洞，666 ～

系统命令注入漏洞

以下是一段有安全漏洞的 Python 代码：

import os
filename = input("请输入文件名：")os.system("rm " + filename)

这段代码的作用是删除用户输入的文件名对应的文件，但存在安全漏洞。其中的漏洞是，用户可以通过输入特殊字符来执行任意系统命令，而不仅仅是删除文件。例如，如果用户输入的是 ;ls，则会先删除指定文件，然后执行 ls 命令。这可能导致系统被攻击者接管或者数据被窃取，因此这段代码需要进行安全性改进。

Amazon CodeWhisperer 成功检测出：系统命令注入漏洞。

SQL 注入漏洞

以下是一个有安全漏洞的 Python 代码：

import sqlite3
conn = sqlite3.connect('example.db')c = conn.cursor()
c.execute('''CREATE TABLE stocks             (date text, trans text, symbol text, qty real, price real)''')
date = input("请输入日期：")trans = input("请输入交易类型：")symbol = input("请输入股票代码：")qty = input("请输入数量：")price = input("请输入价格：")
c.execute(f"INSERT INTO stocks VALUES ('{date}', '{trans}', '{symbol}', {qty}, {price})")
conn.commit()conn.close()

这段代码的作用是向 SQLite 数据库中插入一条记录，但存在安全漏洞。其中的漏洞是，用户输入的数据没有进行任何过滤或转义，从而可能导致 SQL 注入攻击。例如，如果用户输入的 symbol 参数是 ABC'); DROP TABLE stocks; --，则会删除 stocks 表。这可能导致数据丢失或系统崩溃，因此这段代码需要进行安全性改进。

Amazon CodeWhisperer 成功检测出：SQL 注入漏洞。

MD5 碰撞漏洞

以下是一个有安全漏洞的 Python 代码：

import hashlib
password = input("请输入密码：")
hash = hashlib.md5(password.encode('utf-8')).hexdigest()
print(f"您的密码的 MD5 值为：{hash}")

这段代码的作用是计算用户输入的密码的 MD5 值，并输出结果。但存在安全漏洞。其中的漏洞是，MD5 算法已经被证明不再安全，可以被暴力破解或碰撞攻击。因此，如果攻击者获得了用户的 MD5 值，就可以使用彩虹表等方法轻松地破解密码。这可能导致用户账户被攻击者接管或者数据被窃取，因此这段代码需要进行安全性改进。

Amazon CodeWhisperer 成功检测出：MD5 碰撞漏洞

反序列化漏洞

以下是一个有安全漏洞的 Python 代码：

import pickle
serialized_data = input("请输入序列化数据：")data = pickle.loads(serialized_data)# 使用反序列化后的数据...

这段代码的作用是对输入序列化数据，进行反序列化。但存在安全漏洞，其中的漏洞是没有对输入进行验证和过滤，直接进行反序列化操作可能导致恶意对象的执行，从而导致远程代码执行或数据泄露。

Amazon CodeWhisperer 成功检测出：反序列化漏洞。