Amazon Inspector ra mắt tính năng bảo mật mã nguồn, giúp phát hiện lỗ hổng sớm ngay từ giai đoạn phát triển

Amazon Web Services (AWS) vừa chính thức ra mắt tính năng bảo mật mã nguồn cho Amazon Inspector, giúp các tổ chức phát hiện và xử lý lỗ hổng bảo mật ngay từ giai đoạn phát triển trước khi ứng dụng được đưa vào môi trường sản xuất. Tính năng mới này tích hợp trực tiếp với GitHub và GitLab, cho phép nhanh chóng nhận diện và ưu tiên khắc phục các lỗ hổng bảo mật cũng như cấu hình sai trong mã nguồn ứng dụng, thư viện phụ thuộc và hạ tầng dưới dạng mã (IaC).

Người dùng có thể quét mã nguồn khi thực hiện thao tác push hoặc pull code trong repository, trong các pipeline CI/CD hoặc thiết lập lịch quét định kỳ. Kết quả quét được tổng hợp trên bảng điều khiển Amazon Inspector cho cái nhìn toàn diện ở cấp tổ chức, đồng thời trả về trực tiếp trên nền tảng quản lý mã nguồn để lập trình viên nhận phản hồi nhanh chóng.

Tính năng này mở rộng năng lực sẵn có của Amazon Inspector vốn đã hỗ trợ quét lỗ hổng cho Amazon EC2, container image trên Elastic Container Registry (ECR) và AWS Lambda, mang lại quy trình quản lý lỗ hổng nhất quán từ tầng hạ tầng đến mã nguồn ứng dụng. Amazon Inspector hiện cung cấp ba khả năng phân tích bảo mật chính: kiểm thử bảo mật ứng dụng tĩnh (SAST) để phân tích mã nguồn, phân tích thành phần phần mềm (SCA) để đánh giá thư viện phụ thuộc, và quét IaC nhằm xác thực các định nghĩa hạ tầng.

Cụ thể, SAST giúp phát hiện các mẫu mã không an toàn như hardcoded secrets, cross-site scripting, injection trên nhiều ngôn ngữ lập trình phổ biến. SCA hỗ trợ các môi trường Python, .NET, PHP, JavaScript, Java, Ruby, Rust và Go, tự động phân tích thư viện để phát hiện lỗ hổng đã biết và hướng dẫn khắc phục. Quét IaC giúp phát hiện cấu hình sai trong các template CloudFormation, Terraform, AWS CDK, đảm bảo hạ tầng được triển khai đúng chuẩn bảo mật.

Amazon Inspector cho phép tùy chọn quét theo yêu cầu, theo sự kiện thay đổi mã nguồn hoặc theo lịch trình định kỳ. Các phát hiện bảo mật được trình bày chi tiết, chỉ rõ vị trí dòng mã, commit ID và file liên quan, giúp đội ngũ bảo mật và phát triển phối hợp xử lý hiệu quả. Ngoài ra, tích hợp với Amazon EventBridge cho phép tự động hóa cảnh báo và phản hồi sự cố trong quy trình bảo mật hiện có.

Hiện tại, tính năng quét mã nguồn Amazon Inspector đã khả dụng tại 10 khu vực gồm Mỹ (Virginia, Oregon, Ohio), châu Á – Thái Bình Dương (Sydney, Tokyo, Singapore), châu Âu (Frankfurt, Ireland, London, Stockholm).

Với các năng lực mới này, Amazon Inspector giúp doanh nghiệp chủ động kiểm soát rủi ro bảo mật xuyên suốt chuỗi phát triển phần mềm, giảm thiểu chi phí và thời gian xử lý sự cố, đồng thời tăng cường hợp tác giữa đội ngũ phát triển và bảo mật.