Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Lambda Scanfunktionen mit Amazon Inspector
Die Unterstützung von AWS Lambda Funktionen und Ebenen durch Amazon Inspector ermöglicht kontinuierliche automatisierte Bewertungen von Sicherheitslücken. Amazon Inspector bietet zwei Arten von Lambda-Funktionsscans:
**[Standard-Scanning mit Amazon Inspector Lambda](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**
Dieser Scantyp ist der standardmäßige Lambda-Scantyp. Es scannt Anwendungsabhängigkeiten in Lambda-Funktionen und -Layern auf [Paketschwachstellen](findings-types.md#findings-types-package).
**[Scannen von Lambda-Code mit Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**
Dieser Scantyp scannt benutzerdefinierten Anwendungscode in Ihren Lambda-Funktionen und -Layern auf [Code-Schwachstellen](findings-types.md#findings-types-code). Sie können das Lambda-Standardscannen oder das Lambda-Standardscannen mit Lambda-Code-Scan aktivieren.
Wenn Sie das Lambda-Code-Scannen aktivieren möchten, müssen Sie zuerst das Lambda-Standardscannen aktivieren. Weitere Informationen finden Sie unter [Einen Scantyp aktivieren](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html).
Wenn Sie den Lambda-Funktionsscan aktivieren, erstellt Amazon Inspector die folgenden serviceverknüpften Kanäle in Ihrem Konto: `cloudtrail:CreateServiceLinkedChannel` und. `cloudtrail:DeleteServiceLinkedChannel` Amazon Inspector verwaltet diese Kanäle und verwendet sie, um CloudTrail Ereignisse für Scans zu überwachen. Die Kanäle ermöglichen es Ihnen, CloudTrail Ereignisse in Ihrem Konto so zu verfolgen, als ob Sie eine Spur davon gehabt hätten CloudTrail. Wir empfehlen, deinen eigenen Trail zu erstellen CloudTrail , um Ereignisse in deinem Konto zu verwalten. Informationen zur [Anzeige dieser Kanäle findest du im *AWS CloudTrail Benutzerhandbuch* unter Mit Diensten verknüpfte Kanäle](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html) anzeigen.
**Anmerkung**
Amazon Inspector unterstützt das Scannen von [Lambda-Funktionen, die mit vom Kunden verwalteten Schlüsseln verschlüsselt](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) sind, nicht. Dies gilt für Lambda-Standardscans und Lambda-Code-Scans.
## Scanverhalten beim Scannen mit Lambda-Funktionen
Nach der Aktivierung scannt Amazon Inspector alle Lambda-Funktionen, die in den letzten 90 Tagen in Ihrem Konto aufgerufen oder aktualisiert wurden. Amazon Inspector initiiert Schwachstellenscans von Lambda-Funktionen in den folgenden Situationen:
+ Sobald Amazon Inspector eine bestehende Lambda-Funktion entdeckt.
+ Wenn Sie eine neue Lambda-Funktion für den Lambda-Service bereitstellen.
+ Wenn Sie ein Update für den Anwendungscode oder die Abhängigkeiten einer vorhandenen Lambda-Funktion oder ihrer Layer bereitstellen.
+ Immer wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für Ihre Funktion relevant ist.
Amazon Inspector überwacht jede Lambda-Funktion während ihrer gesamten Lebensdauer, bis sie entweder gelöscht oder vom Scannen ausgeschlossen wird.
Auf der Registerkarte **Lambda-Funktionen auf der **Kontoverwaltungsseite** oder mithilfe der API können Sie überprüfen, wann eine Lambda-Funktion** zuletzt auf Sicherheitslücken überprüft wurde. [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) Amazon Inspector aktualisiert das Feld **Zuletzt gescannt am** für eine Lambda-Funktion als Reaktion auf die folgenden Ereignisse:
+ Wenn Amazon Inspector einen ersten Scan einer Lambda-Funktion abschließt.
+ Wenn eine Lambda-Funktion aktualisiert wird.
+ Wenn Amazon Inspector eine Lambda-Funktion erneut scannt, weil ein neues CVE-Element, das sich auf diese Funktion auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.
## Unterstützte Laufzeiten und in Frage kommende Funktionen
Amazon Inspector unterstützt unterschiedliche Laufzeiten für Lambda-Standardscans und Lambda-Code-Scans. Eine Liste der unterstützten Laufzeiten für jeden Scan-Typ finden Sie unter und. [Unterstützte Laufzeiten: Amazon Inspector Lambda Standard-Scanning](supported.md#supported-programming-languages-lambda-standard) [Unterstützte Laufzeiten: Amazon Inspector Lambda-Code-Scanning](supported.md#supported-programming-languages-lambda-code)
Zusätzlich zu einer unterstützten Laufzeit muss eine Lambda-Funktion die folgenden Kriterien erfüllen, um für Amazon Inspector-Scans in Frage zu kommen:
+ Die Funktion wurde in den letzten 90 Tagen aufgerufen oder aktualisiert.
+ Die Funktion ist markiert`$LATEST`.
+ Die Funktion ist nicht von Scans nach Tags ausgeschlossen.
**Anmerkung**
Lambda-Funktionen, die in den letzten 90 Tagen nicht aufgerufen oder geändert wurden, werden automatisch von Scans ausgeschlossen. Amazon Inspector setzt das Scannen einer automatisch ausgeschlossenen Funktion fort, wenn sie erneut aufgerufen wird oder wenn Änderungen am Lambda-Funktionscode vorgenommen werden.
# Standard-Scanning mit Amazon Inspector Lambda
Das Standard-Scannen von Amazon Inspector Lambda identifiziert Softwareschwachstellen in den Abhängigkeiten von Anwendungspaketen, die Sie Ihrem Lambda-Funktionscode und den Lambda-Funktionsschichten hinzufügen. Wenn Ihre Lambda-Funktion beispielsweise eine Version des `python-jwt` Pakets mit einer bekannten Sicherheitslücke verwendet, generiert der Lambda-Standardscan einen Befund für diese Funktion.
Wenn Amazon Inspector eine Sicherheitslücke in den Abhängigkeiten Ihrer Lambda-Funktionsanwendung feststellt, erstellt Amazon Inspector eine detaillierte Suche nach dem Typ der **Sicherheitslücke in Paketen**.
Anweisungen zur Aktivierung eines Scan-Typs finden Sie unter[Einen Scantyp aktivieren](activate-scans.md).
**Anmerkung**
Das Lambda-Standardscannen scannt nicht die AWS SDK-Abhängigkeit, die standardmäßig in der Lambda-Laufzeitumgebung installiert ist. Amazon Inspector scannt nur Abhängigkeiten, die mit dem Funktionscode hochgeladen oder von einer Ebene übernommen wurden.
**Anmerkung**
Wenn Sie das Standardscannen von Amazon Inspector Lambda deaktivieren, wird auch das Scannen von Amazon Inspector Lambda-Code deaktiviert.
# Funktionen vom Lambda-Standardscan ausschließen
Sie können Lambda-Funktionen Tags hinzufügen, sodass Sie sie von Amazon Inspector Lambda-Standardscans ausschließen können. Das Ausschließen von Funktionen aus Scans kann verhindern, dass Warnmeldungen nicht bearbeitet werden können. Wenn Sie eine Funktion für den Ausschluss kennzeichnen, muss das Tag das folgende Schlüssel-Wert-Paar haben.
+ Schlüssel: `InspectorExclusion`
+ Wert: `LambdaStandardScanning`
In diesem Thema wird beschrieben, wie Sie eine Funktion kennzeichnen, sodass sie von Scans ausgeschlossen wird. Weitere Informationen zum Hinzufügen von Tags in Lambda finden Sie unter [Verwenden von Tags in Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html).
**So schließen Sie eine Funktion von Scans aus**
1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Lambda-Konsole unter [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Wählen Sie im Navigationsbereich **Funktionen** aus.
1. Wählen Sie den Namen der Funktion, die Sie von Amazon Inspector Lambda-Standardscans ausschließen möchten.
1. Wählen Sie **Configuraton** (Konfiguration) und dann **Tags** aus.
1. Wählen Sie **Tags verwalten** und dann **Neues Tag hinzufügen**.
1. Geben Sie für **Key (Schlüssel)** `InspectorExclusion` ein.
1. Geben Sie für **Wert** `LambdaStandardScanning` ein
1. Wählen Sie **Save (Speichern)** aus.
# Scannen von Lambda-Code mit Amazon Inspector
**Wichtig**
Diese Funktion erfasst Ausschnitte von Lambda-Funktionen, um erkannte Sicherheitslücken hervorzuheben. Diese Snippets können fest codierte Anmeldeinformationen und andere vertrauliche Materialien enthalten.
Mit dieser Funktion scannt Amazon Inspector Anwendungscode in einer Lambda-Funktion auf Codeschwachstellen, die auf bewährten AWS Sicherheitsmethoden basieren, um Datenlecks, Injektionsfehler, fehlende Verschlüsselung und schwache Kryptografie zu erkennen. Amazon Inspector verwendet automatisiertes Denken und maschinelles Lernen, um Ihren Anwendungscode für Lambda-Funktionen zu bewerten. Es verwendet auch interne Detektoren, die in Zusammenarbeit mit Amazon Q entwickelt wurden, um Richtlinienverstöße und Sicherheitslücken zu identifizieren.
Amazon Inspector generiert eine [Code-Schwachstelle](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code), wenn es eine Sicherheitslücke im Anwendungscode Ihrer Lambda-Funktion entdeckt. Dieser Erkennungstyp umfasst einen Codeausschnitt, der das Problem zeigt und wo Sie das Problem in Ihrem Code finden können. Außerdem wird vorgeschlagen, wie das Problem behoben werden kann. Der Vorschlag umfasst plug-and-play Codeblöcke, mit denen Sie anfällige Codezeilen ersetzen können. Diese Codekorrekturen werden zusätzlich zu den allgemeinen Anleitungen zur Codebehebung für diesen Befundtyp bereitgestellt.
Vorschläge zur Codekorrektur basieren auf automatisierter Argumentation. Einige Vorschläge zur Codekorrektur funktionieren möglicherweise nicht wie beabsichtigt. Sie sind für die Vorschläge zur Codekorrektur verantwortlich, die Sie übernehmen. Lesen Sie sich die Vorschläge zur Codekorrektur immer durch, bevor Sie sie übernehmen. Möglicherweise müssen Sie sie bearbeiten, um sicherzustellen, dass Ihr Code wie vorgesehen funktioniert. Weitere Informationen finden Sie in der [Richtlinie für verantwortungsvolle KI](https://aws.amazon.com/machine-learning/responsible-ai/policy/).
Wenn Sie das Lambda-Code-Scannen aktivieren möchten, müssen Sie zuerst das Lambda-Standardscannen aktivieren. Weitere Informationen finden Sie unter [Einen Scantyp aktivieren](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Informationen darüber, welche diese Funktion AWS-Regionen unterstützen, finden Sie unter[Verfügbarkeit regionsspezifischer Feature](inspector_regions.md#ins-regional-feature-availability).
## Verschlüsseln Ihres Codes im Code — Sicherheitslücken
Amazon Q speichert Codefragmente, bei denen festgestellt wurde, dass sie im Zusammenhang mit einer Code-Schwachstelle stehen, die mithilfe von Lambda-Code-Scans gefunden wurde. Standardmäßig kontrolliert Amazon Q [den AWS eigenen Schlüssel, der](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) zur Verschlüsselung Ihres Codes verwendet wird. Sie können jedoch Ihren eigenen, vom Kunden verwalteten Schlüssel für die Verschlüsselung über die Amazon Inspector API verwenden. Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen](encryption-rest.md#encryption-code-snippets).
# Funktionen vom Lambda-Code-Scannen ausschließen
Sie können Lambda-Funktionen Tags hinzufügen, sodass Sie sie von Amazon Inspector Lambda-Codescans ausschließen können. Wenn Sie Funktionen von Scans ausschließen, können Sie verhindern, dass Warnmeldungen nicht bearbeitet werden können. Wenn Sie eine Funktion für den Ausschluss kennzeichnen, muss das Tag das folgende Schlüssel-Wert-Paar haben.
+ Schlüssel: `InspectorCodeExclusion`
+ Wert — `LambdaCodeScanning`
In diesem Thema wird beschrieben, wie Sie eine Funktion kennzeichnen, sodass sie von Codescans ausgeschlossen wird. Weitere Informationen zum Hinzufügen von Tags in Lambda finden Sie unter [Verwenden von Tags in Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html).
**So schließen Sie eine Funktion von Codescans aus**
1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Lambda-Konsole unter [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Wählen Sie im Navigationsbereich **Funktionen** aus.
1. Wählen Sie den Namen der Funktion, die Sie von Amazon Inspector Lambda-Codescans ausschließen möchten.
1. Wählen Sie **Configuraton** (Konfiguration) und dann **Tags** aus.
1. Wählen Sie „**Tags verwalten**“ und dann „**Neues Tag hinzufügen**“.
1. Geben Sie für **Key (Schlüssel)** `InspectorCodeExclusion` ein.
1. Geben Sie für **Wert** `LambdaCodeScanning` ein
1. Wählen Sie **Save (Speichern)** aus.