AWS Lambda Scanfunktionen mit Amazon Inspector - Amazon Inspector
Scanverhalten beim Scannen mit Lambda-FunktionenUnterstützte Laufzeiten und Funktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Lambda Scanfunktionen mit Amazon Inspector

Die Unterstützung von AWS Lambda Funktionen und Ebenen durch Amazon Inspector ermöglicht kontinuierliche automatisierte Bewertungen von Sicherheitslücken. Amazon Inspector bietet zwei Arten von Lambda-Funktionsscans:

Standard-Scanning mit Amazon Inspector Lambda

Dies ist der standardmäßige Lambda-Scantyp. Das Lambda-Standardscannen scannt Anwendungsabhängigkeiten innerhalb einer Lambda-Funktion und -Layer auf Paketschwachstellen.

Scannen von Lambda-Code mit Amazon Inspector

Dieser Scantyp scannt den benutzerdefinierten Anwendungscode in Ihrer Lambda-Funktion und Ihren Lambda-Ebenen auf Code-Schwachstellen. Sie können entweder das Lambda-Standardscannen oder das Lambda-Standardscannen mit Lambda-Code-Scanning aktivieren.

Wenn Sie den Lambda-Funktionsscan aktivieren, erstellt Amazon Inspector die folgenden AWS CloudTrail serviceverknüpften Kanäle in Ihrem Konto: cloudtrail:CreateServiceLinkedChannel und. cloudtrail:DeleteServiceLinkedChannel Amazon Inspector verwaltet diese Kanäle und verwendet sie, um Ihre CloudTrail Ereignisse im Hinblick auf Scans zu überwachen. Diese Kanäle ermöglichen es Ihnen, CloudTrail Ereignisse in Ihrem Konto zu verfolgen, als ob Sie eine Spur erhalten hätten CloudTrail. Wir empfehlen dir, deinen eigenen Trail zu erstellen CloudTrail , um Ereignisse für dein Konto zu verwalten.

Informationen zur Aktivierung des Lambda-Funktionsscanners finden Sie unter Einen Scantyp aktivieren. Dieser Abschnitt enthält Informationen zum Scannen von Lambda-Funktionen.

Scanverhalten beim Scannen mit Lambda-Funktionen

Nach der Aktivierung scannt Amazon Inspector alle Lambda-Funktionen, die in den letzten 90 Tagen in Ihrem Konto aufgerufen oder aktualisiert wurden. Amazon Inspector initiiert Schwachstellenscans von Lambda-Funktionen in den folgenden Situationen:

  • Sobald Amazon Inspector eine bestehende Lambda-Funktion entdeckt.

  • Wenn Sie eine neue Lambda-Funktion für den Lambda-Service bereitstellen.

  • Wenn Sie ein Update für den Anwendungscode oder die Abhängigkeiten einer vorhandenen Lambda-Funktion oder ihrer Layer bereitstellen.

  • Immer wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für Ihre Funktion relevant ist.

Amazon Inspector überwacht jede Lambda-Funktion während ihrer gesamten Lebensdauer, bis sie entweder gelöscht oder vom Scannen ausgeschlossen wird.

Sie können im Tab Lambda-Funktionen auf der Kontoverwaltungsseite überprüfen, wann eine Lambda-Funktion zuletzt auf Sicherheitslücken überprüft wurde, oder indem Sie den ListCoverageAPI. Amazon Inspector aktualisiert das Feld Zuletzt gescannt am für eine Lambda-Funktion als Reaktion auf die folgenden Ereignisse:

  • Wenn Amazon Inspector einen ersten Scan einer Lambda-Funktion abschließt.

  • Wenn eine Lambda-Funktion aktualisiert wird.

  • Wenn Amazon Inspector eine Lambda-Funktion erneut scannt, weil ein neues CVE-Element, das sich auf diese Funktion auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Unterstützte Laufzeiten und geeignete Funktionen

Amazon Inspector unterstützt unterschiedliche Laufzeiten für Lambda-Standardscans und Lambda-Code-Scans. Eine Liste der unterstützten Laufzeiten für jeden Scan-Typ finden Sie unter und. Unterstützte Laufzeiten: Amazon Inspector Lambda Standard-Scanning Unterstützte Laufzeiten: Amazon Inspector Lambda-Code-Scanning

Zusätzlich zu einer unterstützten Laufzeit muss eine Lambda-Funktion die folgenden Kriterien erfüllen, um für Amazon Inspector-Scans in Frage zu kommen:

  • Die Funktion wurde in den letzten 90 Tagen aufgerufen oder aktualisiert.

  • Die Funktion ist markiert$LATEST.

  • Die Funktion ist nicht von Scans nach Tags ausgeschlossen.

Anmerkung

Lambda-Funktionen, die in den letzten 90 Tagen nicht aufgerufen oder geändert wurden, werden automatisch von Scans ausgeschlossen. Amazon Inspector setzt das Scannen einer automatisch ausgeschlossenen Funktion fort, wenn sie erneut aufgerufen wird oder wenn Änderungen am Lambda-Funktionscode vorgenommen werden.