Q84 — AWS DOP-C02 第2章
第 84/100 题 | ← 返回第2章
一家公司开发了一个托管在AWS上的岛服务器web应难程序。该应难程序由亚马逊S3组成。Amazon API网关、吧个AWS Lambda函数和 一个难于MySQL数据库的Amazon RDS。该公司正在使难AWS CodeCommit范存储源代码。源代码是AWS岛服务器应难程序模型(AWS SAM)模板和Python代码的组合。 安全审计和渗透测试显示,难于数据库身份办证的难户会和其码被硬编码在CodeCommit存储库中。DevOps工程师客间实施一个解决 方案范自动检测和防止硬编码育其。 两足这些要求的最安全的解决方案是什么?
- A. 启用Amazon CodeGuru Proler。用@with_lambda_proler()修饰处理函数。手动检查建议报告。将密码作为安全字符串写入AWS Systems Manager参数存储。更新SAM模板和Python代码以从参数存储中提取秘密。
- B. 将CodeCommit存储库与Amazon CodeGuru Reviewer相关联。手动检查代码审查是否有任何建议。选择保护机密的选项。更新 SAM模板和Python代码,以便从AWS Secrets Manager中提取机密。 ✓
- C. 启用Amazon CodeGuru Proler。用@with_lambda_proler()修饰处理函数。手动检查建议报告。选择保护机密的选项。更新SAM模 板和Python代码,以便从AWS Secrets Manager中提取机密。
- D. 将CodeCommit存储库与Amazon CodeGuru Reviewer相关联。手动检查代码审查是否有任何建议。将密码以字符串形式写入AWS Systems Manager参数存储。更新SAM模板和Python代码以从参数存储中提取秘密。
正确答案: B. 将CodeCommit存储库与Amazon CodeGuru Reviewer相关联。手动检查代码审查是否有任何建议。选择保护机密的选项。更新 SAM模板和Python代码,以便从AWS Secrets Manager中提取机密。
解析
AWS无服务器应用中检测和预防硬编码机密的安全措施涉及使用自动化工具和服务。根据AWS文档,Amazon CodeGuru Reviewer专为代码审查设计,可识别硬编码凭证等安全风险。将CodeCommit仓库与CodeGuru Reviewer集成可实现自动化扫描,生成报告后手动筛选有效建议。AWS Secrets Manager相比Systems Manager参数存储提供更高级的机密管理功能,如自动轮换和加密。选项B结合了自动化扫描(CodeGuru Reviewer)与安全存储(Secrets Manager),符合题目要求的自动检测与保护机制。选项D使用参数存储,安全性不足;选项A、C依赖Profiler(性能分析工具),不适用代码审查场景。