翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Q Developer でのコードレビュー
<a name="code-reviews"></a>

Amazon Q Developer では、開発サイクル全体を通じて、コードベースのセキュリティ上の脆弱性やコード品質の問題をレビューし、アプリケーションのセキュリティを改善できます。コードベース全体を確認したり、ローカルプロジェクトまたはワークスペース内のすべてのファイルを分析したり、単一のファイルを確認したりできます。記述時にコードを評価する自動レビューを有効にすることもできます。

レビューは、生成 AI とルールベースの自動推論の両方を利用しています。[Amazon Q ディテクターは](https://docs.aws.amazon.com/codeguru/detector-library)、長年のセキュリティのベストプラクティス AWS と Amazon.com セキュリティのベストプラクティスに基づいており、ルールベースのセキュリティと品質のレビューを強化します。セキュリティポリシーが更新され、ディテクターが追加されると、コードが最新のポリシーに準拠するよう、レビューは自動的に新しいディテクターを組み込みます。

この機能でサポートされている IDE については、「[サポートされている IDE](q-in-IDE.md#supported-ides-features)」を参照してください。サポートされている言語については、「[コードレビューの言語サポート](q-language-ide-support.md#code-reviews-language-support)」を参照してください。

**Topics**
+ [仕組み](#how-code-reviews-work)
+ [コードの問題のタイプ](#issue-types)
+ [クォータ](#quotas)
+ [Amazon Q Developer でコードレビューを開始する](start-review.md)
+ [Amazon Q Developer を使用したコードの問題への対処](address-code-issues.md)
+ [コードの問題をフィルタリングする](filter-code-issues.md)
+ [Amazon Q Developer のコードレビューでのコードの問題の重要度](code-issue-severity.md)

## 仕組み
<a name="how-code-reviews-work"></a>

コードレビュー中、Amazon Q はカスタムコードとコード内のサードパーティーライブラリの両方を評価します。コードレビューを開始する前に、Amazon Q はフィルタリングを適用して、関連するコードのみがレビューされるようにします。フィルタリングプロセスの一環として、Amazon Q はサポートされていない言語、テストコード、オープンソースコードを除外します。

Amazon Q は、最近のコード変更を確認するか、ファイルまたはプロジェクト全体を確認できます。レビューを開始するには、IDE でコードフォルダを開き、チャットパネルからコードを確認するように Amazon Q に依頼します。

デフォルトでは、コードの確認を Amazon Q に依頼するだけで、IDE のアクティブなファイル内のコード変更のみがレビューされます。コードの変更は、 ファイルの `git diff` コマンドの出力によって決まります。差分ファイルが存在しない場合、Amazon Q はコードファイル全体を確認します。ファイルが開いていない場合、レビューするプロジェクト内のコード変更を検索します。

同様に、プロジェクトまたはワークスペース全体を確認するように Amazon Q に依頼すると、まずコードの変更を確認しようとします。差分ファイルが存在しない場合は、コードベース全体を確認します。

## コードの問題のタイプ
<a name="issue-types"></a>

Amazon Q は、次のタイプのコードの問題についてコードをレビューします。
+ **SAST スキャン — ソースコードのセキュリティ上の脆弱性を検出します。**Amazon Q は、リソースリーク、SQL インジェクション、クロスサイトスクリプティングなど、さまざまなセキュリティ問題を特定します。
+  **シークレットの検知 — コードでの機密情報や秘密情報の漏洩を防ぎます。**Amazon Q は、コードファイルとテキストファイルをレビューして、ハードコードされたパスワード、データベース接続文字列、ユーザー名などのシークレットを検出します。シークレットの検出結果には、保護されていないシークレットとその保護方法に関する情報が含まれます。
+ **IaC の問題スキャン — インフラストラクチャファイルのセキュリティ体制を評価します。**Amazon Q は、Infrastructure as Code (IaC) コードファイルをレビューして、設定ミス、コンプライアンス、セキュリティの問題を検出できます。
+  **コード品質の問題 — コードが品質、保守性、効率性の基準を満たしているかどうかを確認します。**Amazon Q は、パフォーマンス、機械学習ルール、AWS のベストプラクティスなど、さまざまな品質問題に関連するコードの問題を表示します。
+  **コードデプロイリスク — コードのデプロイに関連するリスクを評価します。**Amazon Q は、アプリケーションのパフォーマンスやオペレーションの中断など、コードをデプロイまたはリリースするリスクがあるかどうかを判断します。
+  **ソフトウェアコンポジション分析 (SCA) — サードパーティーのコードを評価します。**Amazon Q は、コードに統合されているサードパーティーのコンポーネント、ライブラリ、フレームワーク、依存関係を調べ、サードパーティーのコードが安全かつ最新であることを確認します。

Amazon Q がコードをレビューするために使用するディテクターの一覧については、「[Amazon Q Detector Library](https://docs.aws.amazon.com/codeguru/detector-library/)」を参照してください。

## クォータ
<a name="quotas"></a>

Amazon Q セキュリティスキャンは、次のクォータを維持します。
+ **入力アーティファクトサイズ** – サードパーティーライブラリ、ビルド JAR ファイル、一時ファイルなど、IDE プロジェクトワークスペース内のすべてのファイルの最大サイズ。
+ **ソースコードサイズ** – すべてのサードパーティーライブラリとサポートされていないファイルをフィルタリングした後に Amazon Q がスキャンするソースコードの最大サイズ。

次の表は、自動スキャンとフルプロジェクトスキャンで維持されるクォータを示しています。


| [リソース]  | 自動レビュー | ファイルまたはプロジェクトのレビュー | 
| --- | --- | --- | 
| 入力アーティファクトのサイズ | 200 KB | 500 MB | 
| ソースコードのサイズ | 200 KB | 50 MB |