Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types de recherche Amazon Inspector
Cette section décrit les différents types de recherche dans Amazon Inspector.
Vulnérabilité du package
Les résultats relatifs aux vulnérabilités des packages identifient les packages logiciels de votre AWS environnement qui sont exposés à des vulnérabilités et à des risques courants (CVEs). Les attaquants peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Le système CVE est une méthode de référence pour les vulnérabilités et les expositions de sécurité des informations connues du public. Pour plus d'informations, consultez https://www.cve.org/
Amazon Inspector peut générer des informations sur les vulnérabilités des packages pour les EC2 instances, les images de conteneurs ECR et les fonctions Lambda. Les résultats relatifs à la vulnérabilité des packages comportent des informations supplémentaires propres à ce type de découverte, à savoir le score de l'Inspector et les informations sur les vulnérabilités.
vulnérabilité du code
Les découvertes de vulnérabilités dans le code identifient les lignes de votre code susceptibles d'être exploitées par des attaquants. Les vulnérabilités du code incluent des failles d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code.
Amazon Inspector évalue le code de votre application de fonction Lambda à l'aide d'un raisonnement automatique et d'un apprentissage automatique qui analyse le code de votre application pour vérifier sa conformité globale en matière de sécurité. Il identifie les violations des politiques et les vulnérabilités sur la base de détecteurs internes développés en collaboration avec Amazon CodeGuru. Pour une liste des détections possibles, voir Bibliothèque de CodeGuru détecteurs.
Important
Le scan de code Amazon Inspector capture des extraits de code pour mettre en évidence les vulnérabilités détectées. Ces extraits peuvent afficher des informations d'identification codées en dur ou d'autres informations sensibles en texte clair.
Amazon Inspector peut générer des informations sur les vulnérabilités du code pour les fonctions Lambda si vous activez le scan du code Lambda par Amazon Inspector.
Les extraits de code détectés en lien avec une vulnérabilité de code sont stockés par le CodeGuru service. Par défaut, une cléAWS détenue contrôlée par CodeGuru est utilisée pour chiffrer votre code, mais vous pouvez utiliser votre propre clé gérée par le client pour le chiffrement via l'API Amazon Inspector. Pour plus d'informations, voir Chiffrement inexistant pour le code contenu dans vos résultats.
Accessibilité du réseau
Les résultats relatifs à l'accessibilité du réseau indiquent qu'il existe des chemins réseau ouverts vers les EC2 instances Amazon dans votre environnement. Ces résultats apparaissent lorsque vos ports TCP et UDP sont accessibles depuis les périphériques du VPC, comme une passerelle Internet (y compris les instances situées derrière des équilibreurs de charge d'application ou des équilibreurs de charge classiques), une connexion d'appairage VPC ou un VPN via une passerelle virtuelle. Ces résultats mettent en évidence des configurations réseau qui peuvent être trop permissives, telles que des groupes de sécurité mal gérés, des listes de contrôle d'accès ou des passerelles Internet, ou qui peuvent autoriser un accès potentiellement malveillant.
Amazon Inspector génère uniquement des résultats d'accessibilité au réseau pour les instances Amazon EC2 . Amazon Inspector analyse les données relatives à l'accessibilité du réseau toutes les 24 heures une fois Amazon Inspector activé.
Amazon Inspector évalue les configurations suivantes lors de la recherche de chemins réseau :
