Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Lambda Funciones de escaneo con Amazon Inspector
<a name="scanning-lambda"></a>

 El soporte de Amazon Inspector para AWS Lambda funciones y capas proporciona evaluaciones automatizadas y continuas de las vulnerabilidades de seguridad. Amazon Inspector ofrece dos tipos de análisis de función de Lambda: 

**[Análisis estándar de Lambda con Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 Este tipo de análisis es el tipo de análisis de Lambda predeterminado. Analiza las dependencias de aplicaciones en funciones y capas de Lambda en busca de [vulnerabilidades de paquetes](findings-types.md#findings-types-package). 

**[Análisis de código de Lambda con Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 Este tipo de análisis analiza el código personalizado de la aplicación en las funciones y capas de Lambda para [vulnerabilidades de código](findings-types.md#findings-types-code). Puede activar el análisis estándar de Lambda o el análisis estándar de Lambda con el análisis de código de Lambda. 

 Si desea activar el análisis de código de Lambda, primero debe activar el análisis estándar de Lambda. Para obtener más información, consulte [Activación de un tipo de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). 

 Al activar el análisis de función de Lambda, Amazon Inspector crea los siguientes canales vinculados a servicios en la cuenta: `cloudtrail:CreateServiceLinkedChannel` y `cloudtrail:DeleteServiceLinkedChannel`. Amazon Inspector gestiona estos canales y los utiliza para supervisar los CloudTrail eventos y realizar escaneos. Los canales le permiten ver CloudTrail los eventos de su cuenta como si tuviera una pista de acceso CloudTrail. Te recomendamos crear tu propia ruta de acceso CloudTrail para gestionar los eventos en tu cuenta. Para obtener información sobre cómo ver estos canales, consulte [Visualización de canales vinculados a servicios](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html) en la *Guía del usuario de AWS CloudTrail *. 

**nota**  
 Amazon Inspector no admite el análisis de [funciones de Lambda cifradas con claves administradas por el cliente](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html). Esto se aplica al análisis estándar y de código de Lambda. 

## Comportamientos de los análisis de funciones de Lambda
<a name="lambda-scan-behavior"></a>

Tras activarse, Amazon Inspector analiza todas las funciones de Lambda invocadas o actualizadas en los últimos 90 días en la cuenta. Amazon Inspector inicia análisis de funciones de Lambda en busca de vulnerabilidades en las siguientes situaciones:
+ En cuanto Amazon Inspector detecta una función de Lambda.
+ cuando implementa una nueva función de Lambda en el servicio de Lambda,
+ cuando implementa una actualización en el código de la aplicación o las dependencias de una función de Lambda o sus capas,
+ siempre que Amazon Inspector añade un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y ese elemento de CVE es relevante para la función.

Amazon Inspector supervisa todas las funciones de Lambda a lo largo de su vida útil hasta que se eliminan o se excluyen de los análisis.

Puede comprobar la última vez en la que se revisó una función de Lambda en busca de vulnerabilidades desde la pestaña **Funciones de Lambda** de la página **Administración de cuentas** o con la API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html). Amazon Inspector actualiza el campo **Fecha del último análisis** de una función de Lambda en respuesta a los siguientes eventos:
+ cuando Amazon Inspector completa un análisis inicial de una función de Lambda,
+ cuando se actualiza una función de Lambda,
+ cuando Amazon Inspector vuelve a analizar una función de Lambda porque se ha añadido a la base de datos de Amazon Inspector un nuevo elemento de CVE que afecta a la función.

## Tiempos de ejecución admitidos y funciones elegibles
<a name="supported-functions"></a>

Amazon Inspector admite distintos tiempos de ejecución para el análisis estándar y el análisis de código de Lambda. Para ver una lista de los tiempos de ejecución admitidos para cada tipo de análisis, consulte [Tiempos de ejecución admitidos: análisis estándar de Lambda con Amazon Inspector](supported.md#supported-programming-languages-lambda-standard) y [Tiempos de ejecución admitidos: análisis de código de Lambda con Amazon Inspector](supported.md#supported-programming-languages-lambda-code).

Además de contar con un tiempo de ejecución admitido, una función de Lambda necesita cumplir los siguientes criterios para que sea elegible para los análisis de Amazon Inspector.
+ La función se ha invocado o actualizado en los últimos 90 días.
+ La función está marcada con `$LATEST`.
+ La función no se ha excluido de los análisis con etiquetas.

**nota**  
Las funciones de Lambda que no se hayan invocado o modificado en los últimos 90 días se excluyen automáticamente de los análisis. Amazon Inspector reanuda el análisis de una función excluida automáticamente si se invoca de nuevo o si se realizan cambios en el código de la función de Lambda.

# Análisis estándar de Lambda con Amazon Inspector
<a name="scanning_resources_lambda"></a>

El análisis estándar de Lambda con Amazon Inspector identifica las vulnerabilidades de software en las dependencias de los paquetes de la aplicación que añade a las capas y el código de una función de Lambda. Por ejemplo, si la función de Lambda utiliza una versión del paquete `python-jwt` que incluye una vulnerabilidad conocida, el análisis estándar de Lambda generará un resultado para esa función.

Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo **Vulnerabilidad de paquetes**.

Para ver las instrucciones de activación de un tipo de análisis, consulte [Activación de un tipo de análisis](activate-scans.md).

**nota**  
El análisis estándar de Lambda no analiza la dependencia del SDK de AWS instalada de forma predeterminada en el entorno de tiempo de ejecución de Lambda. Amazon Inspector solo explora las dependencias cargadas con el código de función o heredadas de una capa.

**nota**  
Al desactivar el análisis estándar de Lambda con Amazon Inspector, también se desactiva el análisis de código de Lambda con Amazon Inspector.

# Exclusión de funciones del análisis estándar de Lambda
<a name="scanning_resources_lambda_exclude_functions"></a>

 Puede agregar etiquetas a funciones de Lambda, por lo que puede excluirlas del análisis estándar de Lambda de Amazon Inspector. La exclusión de funciones de los análisis puede evitar recibir alertas no procesables. Al etiquetar una función para excluirla, la etiqueta debe tener el siguiente par clave-valor. 
+  Clave: `InspectorExclusion` 
+  Valor: `LambdaStandardScanning` 

 En este tema se describe cómo etiquetar una función para excluirla del análisis. Para obtener más información sobre cómo agregar etiquetas en Lambda, consulte [Uso de etiquetas en funciones de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Exclusión de una función del análisis**

1.  Inicie sesión con las credenciales y, a continuación, abra la consola de Lambda en [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/). 

1.  En el panel de navegación, elija **Funciones**. 

1.  Elija el nombre de la función que querría excluir del análisis estándar de Lambda de Amazon Inspector. 

1.  Elija **Configuration** (Configuración) y, a continuación, elija **Tags** (Etiquetas). 

1.  Elija **Administrar etiquetas** y, a continuación, **Agregar nueva etiqueta**. 

   1. En **Clave**, escriba `InspectorExclusion`.

   1.  En **Value** (Valor), ingrese `LambdaStandardScanning`. 

1.  Seleccione **Save**. 

# Análisis de código de Lambda con Amazon Inspector
<a name="scanning_resources_lambda_code"></a>

**importante**  
 Esta característica captura fragmentos de las funciones de Lambda para resaltar las vulnerabilidades detectadas. Estos fragmentos pueden mostrar credenciales codificadas y otros tipos de información confidencial. 

 Con esta característica, Amazon Inspector analiza el código de la aplicación en una función de Lambda para vulnerabilidades de código en función de las prácticas recomendadas de seguridad de AWS para detectar fugas de datos, errores de inyección, falta de cifrado y criptografía débil. Amazon Inspector utiliza razonamiento automatizado y machine learning para evaluar el código de la aplicación de la función de Lambda. Usa también detectores internos desarrollados en colaboración con Amazon Q para identificar infracciones y vulnerabilidades de las políticas. 

 Amazon Inspector genera una [vulnerabilidad de código](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code) cuando detecta una vulnerabilidad en el código de la aplicación de la función de Lambda. En este tipo de resultado se incluye un fragmento de código en el que se muestra el problema y dónde puede encontrar el problema en el código. También sugiere cómo corregir el problema. La sugerencia incluye bloques de código listos para usar que puede usar para sustituir las líneas de código vulnerables. Estas correcciones de código se proporcionan además de una guía general de corrección de código para este tipo de resultado. 

 Las sugerencias de corrección de código se basan en el razonamiento automatizado. Es posible que algunas sugerencias de corrección de código no funcionen según lo previsto. El usuario se hace responsable de las sugerencias de corrección de código que adopte. Revise las sugerencias de corrección de código antes de adoptarlas. Es posible que deba modificarlas para garantizar que el código lleve a cabo las acciones previstas. Para obtener más información, consulte la [Política de IA responsable](https://aws.amazon.com/machine-learning/responsible-ai/policy/). 

 Si desea activar el análisis de código de Lambda, primero debe activar el análisis estándar de Lambda. Para obtener más información, consulte [Activación de un tipo de análisis](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Para obtener información acerca de qué Regiones de AWS admiten esta característica, consulte [Disponibilidad de características específicas por región](inspector_regions.md#ins-regional-feature-availability). 

## Cifrado del código en los resultados de vulnerabilidades de código
<a name="lambda-code-encryption"></a>

 Amazon Q almacena los fragmentos de código que se detectan en relación con un resultado de vulnerabilidad de código mediante el análisis de código de Lambda. De forma predeterminada, Amazon Q controla [la clave propia de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) que se utiliza para cifrar el código. No obstante, puede utilizar su propia clave administrada por el cliente para cifrarlo a través de la API de Amazon Inspector. Para obtener más información, consulte [Cifrado de código en reposo en los resultados](encryption-rest.md#encryption-code-snippets). 

# Exclusión de funciones del análisis de código de Lambda
<a name="scanning_resources_lambda_code_exclude_functions"></a>

 Puede agregar etiquetas a funciones de Lambda para excluirlas del análisis de código de Lambda con Amazon Inspector. La exclusión de funciones de los análisis puede evitar recibir alertas no procesables. Al etiquetar una función para excluirla, la etiqueta debe tener el siguiente par clave-valor. 
+  Clave: – `InspectorCodeExclusion` 
+  Valor: – `LambdaCodeScanning` 

 En este tema se describe cómo etiquetar una función para excluirla de los análisis de código. Para obtener más información sobre cómo agregar etiquetas en Lambda, consulte [Uso de etiquetas en funciones de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Exclusión de una función del análisis de código**

1.  Inicie sesión con las credenciales y, a continuación, abra la consola de Lambda en [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/). 

1.  En el panel de navegación, elija **Funciones**. 

1.  Elija el nombre de la función que querría excluir del análisis de código de Lambda con Amazon Inspector. 

1.  Elija **Configuration** (Configuración) y, a continuación, elija **Tags** (Etiquetas). 

1.  Elija **Administrar etiquetas** y, a continuación, **Agregar nueva etiqueta**. 

   1. En **Clave**, escriba `InspectorCodeExclusion`.

   1.  En **Value** (Valor), ingrese `LambdaCodeScanning`. 

1.  Seleccione **Save**.