AWS Lambda Fonctions de numérisation avec Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Lambda Fonctions de numérisation avec Amazon Inspector

Le support d'Amazon Inspector pour AWS Lambda les fonctions et les couches fournit des évaluations automatisées continues des vulnérabilités de sécurité. Amazon Inspector propose deux types de numérisation par fonction Lambda :

Numérisation standard Amazon Inspector Lambda

Il s'agit du type de scan Lambda par défaut. L'analyse standard Lambda analyse les dépendances des applications au sein d'une fonction Lambda et des couches pour détecter les vulnérabilités des packages.

Numérisation du code Lambda d'Amazon Inspector

Ce type de scan analyse le code d'application personnalisé de votre fonction Lambda et de vos couches pour détecter les vulnérabilités du code. Vous pouvez activer le scan standard Lambda ou activer le scan standard Lambda avec le scan de code Lambda.

Lorsque vous activez le scan des fonctions Lambda, Amazon Inspector crée les canaux AWS CloudTrail liés aux services suivants dans votre compte : et. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gère ces canaux et les utilise pour surveiller vos CloudTrail événements à des fins d'analyse. Ces canaux vous permettent de suivre CloudTrail les événements sur votre compte comme si vous y étiez connecté CloudTrail. Nous vous recommandons de créer votre propre trail in CloudTrail pour gérer les événements de votre compte.

Pour plus d'informations sur la façon d'activer le scan par fonction Lambda, voir Activation d'un type de scan. Cette section fournit des informations sur le scan des fonctions Lambda.

Comportements de scan pour l'analyse des fonctions Lambda

Lors de l'activation, Amazon Inspector analyse toutes les fonctions Lambda invoquées ou mises à jour dans votre compte au cours des 90 derniers jours. Amazon Inspector lance des analyses de vulnérabilité des fonctions Lambda dans les situations suivantes :

  • Dès qu'Amazon Inspector découvre une fonction Lambda existante.

  • Lorsque vous déployez une nouvelle fonction Lambda sur le service Lambda.

  • Lorsque vous déployez une mise à jour du code d'application ou des dépendances d'une fonction Lambda existante ou de ses couches.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre fonction.

Amazon Inspector surveille chaque fonction Lambda tout au long de sa durée de vie jusqu'à ce qu'elle soit supprimée ou exclue de l'analyse.

Vous pouvez vérifier la date à laquelle une fonction Lambda a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Fonctions Lambda de la page de gestion du compte, ou en utilisant ListCoverageAPI. Amazon Inspector met à jour le champ Dernière analyse effectuée pour une fonction Lambda en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue une analyse initiale d'une fonction Lambda.

  • Lorsqu'une fonction Lambda est mise à jour.

  • Lorsqu'Amazon Inspector réanalyse une fonction Lambda parce qu'un nouvel élément CVE impactant cette fonction a été ajouté à la base de données Amazon Inspector.

Runtimes pris en charge et fonctions éligibles

Amazon Inspector prend en charge différents environnements d'exécution pour le scan standard Lambda et le scan du code Lambda. Pour obtenir la liste des environnements d'exécution pris en charge pour chaque type de scan, reportez-vous aux sections Runtimes pris en charge : analyse standard Amazon Inspector Lambda etRuntimes pris en charge : analyse du code Lambda par Amazon Inspector.

En plus de disposer d'un environnement d'exécution compatible, une fonction Lambda doit répondre aux critères suivants pour être éligible aux scans Amazon Inspector :

  • La fonction a été invoquée ou mise à jour au cours des 90 derniers jours.

  • La fonction est marquée$LATEST.

  • La fonction n'est pas exclue des scans par balises.

Note

Les fonctions Lambda qui n'ont pas été invoquées ou modifiées au cours des 90 derniers jours sont automatiquement exclues des scans. Amazon Inspector reprendra l'analyse d'une fonction automatiquement exclue si elle est à nouveau invoquée ou si des modifications sont apportées au code de fonction Lambda.