Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS Lambda Fonctions de numérisation avec Amazon Inspector
<a name="scanning-lambda"></a>

 Le support d'Amazon Inspector pour AWS Lambda les fonctions et les couches fournit des évaluations automatisées continues des vulnérabilités de sécurité. Amazon Inspector propose deux types de numérisation par fonction Lambda : 

**[Numérisation standard Amazon Inspector Lambda](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 Ce type de scan est le type de scan Lambda par défaut. Il analyse les dépendances des applications dans les fonctions et les couches Lambda pour détecter les vulnérabilités des [packages](findings-types.md#findings-types-package). 

**[Numérisation du code Lambda d'Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 Ce type de scan analyse le code d'application personnalisé dans vos fonctions et couches Lambda pour détecter les vulnérabilités [du code](findings-types.md#findings-types-code). Vous pouvez activer le scan standard Lambda ou le scan standard Lambda avec le scan de code Lambda. 

 Si vous souhaitez activer le scan de code Lambda, vous devez d'abord activer le scan standard Lambda. Pour plus d'informations, consultez la section [Activation d'un type de scan](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). 

 Lorsque vous activez le scan des fonctions Lambda, Amazon Inspector crée les canaux liés aux services suivants dans votre compte : et. `cloudtrail:CreateServiceLinkedChannel` `cloudtrail:DeleteServiceLinkedChannel` Amazon Inspector gère ces canaux et les utilise pour surveiller les CloudTrail événements à des fins de numérisation. Les chaînes vous permettent de visualiser CloudTrail les événements de votre compte comme si vous y étiez connecté CloudTrail. Nous vous recommandons de créer votre propre trail in CloudTrail pour gérer les événements de votre compte. Pour plus d'informations sur la façon de visionner ces chaînes, consultez la section [Affichage des chaînes liées à un service](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html) dans le Guide de l'*AWS CloudTrail utilisateur*. 

**Note**  
 Amazon Inspector ne prend pas en charge l'analyse des [fonctions Lambda chiffrées à l'aide de clés gérées par le client](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html). Cela s'applique au scan standard Lambda et au scan du code Lambda. 

## Comportements de scan pour l'analyse des fonctions Lambda
<a name="lambda-scan-behavior"></a>

Lors de l'activation, Amazon Inspector analyse toutes les fonctions Lambda invoquées ou mises à jour dans votre compte au cours des 90 derniers jours. Amazon Inspector lance des analyses de vulnérabilité des fonctions Lambda dans les situations suivantes :
+ Dès qu'Amazon Inspector découvre une fonction Lambda existante.
+ Lorsque vous déployez une nouvelle fonction Lambda sur le service Lambda.
+ Lorsque vous déployez une mise à jour du code d'application ou des dépendances d'une fonction Lambda existante ou de ses couches.
+ Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre fonction.

Amazon Inspector surveille chaque fonction Lambda pendant toute sa durée de vie jusqu'à ce qu'elle soit supprimée ou exclue de l'analyse.

Vous pouvez vérifier la date à laquelle une fonction Lambda a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet **Fonctions Lambda** de la page de **gestion du compte** ou en utilisant l'API. [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) Amazon Inspector met à jour le champ **Dernière analyse** effectuée pour une fonction Lambda en réponse aux événements suivants :
+ Lorsqu'Amazon Inspector effectue une analyse initiale d'une fonction Lambda.
+ Lorsqu'une fonction Lambda est mise à jour.
+ Lorsqu'Amazon Inspector réanalyse une fonction Lambda parce qu'un nouvel élément CVE impactant cette fonction a été ajouté à la base de données Amazon Inspector.

## Runtimes pris en charge et fonctions éligibles
<a name="supported-functions"></a>

Amazon Inspector prend en charge différents environnements d'exécution pour le scan standard Lambda et le scan du code Lambda. Pour obtenir la liste des environnements d'exécution pris en charge pour chaque type de scan, reportez-vous aux sections [Runtimes pris en charge : analyse standard Amazon Inspector Lambda](supported.md#supported-programming-languages-lambda-standard) et[Runtimes pris en charge : analyse du code Lambda par Amazon Inspector](supported.md#supported-programming-languages-lambda-code).

En plus de disposer d'un environnement d'exécution compatible, une fonction Lambda doit répondre aux critères suivants pour être éligible aux scans Amazon Inspector :
+ La fonction a été invoquée ou mise à jour au cours des 90 derniers jours.
+ La fonction est marquée`$LATEST`.
+ La fonction n'est pas exclue des scans par balises.

**Note**  
Les fonctions Lambda qui n'ont pas été invoquées ou modifiées au cours des 90 derniers jours sont automatiquement exclues des scans. Amazon Inspector reprendra l'analyse d'une fonction automatiquement exclue si elle est à nouveau invoquée ou si des modifications sont apportées au code de fonction Lambda.

# Numérisation standard Amazon Inspector Lambda
<a name="scanning_resources_lambda"></a>

Le scan standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de fonction Lambda et à vos couches. Par exemple, si votre fonction Lambda utilise une version du `python-jwt` package présentant une vulnérabilité connue, l'analyse standard Lambda générera un résultat pour cette fonction.

Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche détaillée du type de **vulnérabilité du package**.

Pour obtenir des instructions sur l'activation d'un type de scan, voir[Activation d'un type de scan](activate-scans.md).

**Note**  
Le scan standard Lambda n'analyse pas la dépendance du AWS SDK installée par défaut dans l'environnement d'exécution Lambda. Amazon Inspector analyse uniquement les dépendances chargées avec le code de fonction ou héritées d'une couche.

**Note**  
La désactivation du scan standard Amazon Inspector Lambda désactivera également le scan du code Lambda d'Amazon Inspector.

# Exclusion de fonctions du scan standard Lambda
<a name="scanning_resources_lambda_exclude_functions"></a>

 Vous pouvez ajouter des balises aux fonctions Lambda afin de les exclure des scans standard Lambda d'Amazon Inspector. Le fait d'exclure des fonctions des scans peut éviter des alertes inexploitables. Lorsque vous balisez une fonction pour l'exclure, la balise doit comporter la paire clé-valeur suivante. 
+  Clé : `InspectorExclusion` 
+  Valeur : `LambdaStandardScanning` 

 Cette rubrique décrit comment baliser une fonction pour l'exclure des scans. Pour plus d'informations sur l'ajout de balises dans Lambda, consultez la section [Utilisation de balises dans les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Pour exclure une fonction des scans**

1.  Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Lambda à l'adresse. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/) 

1.  Dans le volet de navigation, sélectionnez **Functions**. 

1.  Choisissez le nom de la fonction que vous souhaitez exclure des scans standard Amazon Inspector Lambda. 

1.  Sélectionnez **Configuration**, puis **Tags (Balises)**. 

1.  Choisissez **Gérer les balises**, puis **Ajouter une nouvelle balise**. 

   1. Pour **Key** (Clé), saisissez `InspectorExclusion`.

   1.  Pour le champ **Value (Valeur)**, saisissez `LambdaStandardScanning`. 

1.  Choisissez **Save** (Enregistrer). 

# Numérisation du code Lambda d'Amazon Inspector
<a name="scanning_resources_lambda_code"></a>

**Important**  
 Cette fonctionnalité capture des extraits de fonctions Lambda pour mettre en évidence les vulnérabilités détectées. Ces extraits peuvent afficher des informations d'identification codées en dur et d'autres informations sensibles. 

 Grâce à cette fonctionnalité, Amazon Inspector analyse le code de l'application dans une fonction Lambda pour détecter les vulnérabilités du code en se basant sur les meilleures pratiques de AWS sécurité afin de détecter les fuites de données, les défauts d'injection, les défauts de chiffrement et les faiblesses de la cryptographie. Amazon Inspector utilise le raisonnement automatique et l'apprentissage automatique pour évaluer le code d'application de votre fonction Lambda. Il utilise également des détecteurs internes développés en collaboration avec Amazon Q pour identifier les violations des politiques et les vulnérabilités. 

 Amazon Inspector génère une [vulnérabilité de code](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code) lorsqu'il détecte une vulnérabilité dans le code de votre application de fonction Lambda. Ce type de recherche inclut un extrait de code indiquant le problème et indiquant où vous pouvez le trouver dans votre code. Il suggère également comment remédier au problème. La suggestion inclut des blocs de plug-and-play code que vous pouvez utiliser pour remplacer des lignes de code vulnérables. Ces corrections de code sont fournies en plus des conseils généraux de correction du code pour ce type de recherche. 

 Les suggestions de correction du code sont basées sur un raisonnement automatisé. Certaines suggestions de correction du code peuvent ne pas fonctionner comme prévu. Vous êtes responsable des suggestions de correction du code que vous adoptez. Passez toujours en revue les suggestions de correction du code avant de les adopter. Vous devrez peut-être les modifier pour vous assurer que votre code fonctionne comme prévu. Pour plus d'informations, consultez la [politique en matière d'IA responsable](https://aws.amazon.com/machine-learning/responsible-ai/policy/). 

 Si vous souhaitez activer le scan de code Lambda, vous devez d'abord activer le scan standard Lambda. Pour plus d'informations, consultez la section [Activation d'un type de scan](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Pour plus d'informations sur les Régions AWS appareils compatibles avec cette fonctionnalité, consultez[Disponibilité des fonctionnalités propres à la région](inspector_regions.md#ins-regional-feature-availability). 

## Chiffrer votre code lors de la découverte d'une vulnérabilité
<a name="lambda-code-encryption"></a>

 Amazon Q stocke les extraits de code détectés comme étant liés à la détection d'une vulnérabilité de code à l'aide de l'analyse de code Lambda. Par défaut, Amazon Q contrôle [la clé AWS détenue](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) utilisée pour chiffrer votre code. Cependant, vous pouvez utiliser votre propre clé gérée par le client pour le chiffrement via l'API Amazon Inspector. Pour de plus amples informations, veuillez consulter [Chiffrement inexistant pour le code contenu dans vos résultats](encryption-rest.md#encryption-code-snippets). 

# Exclusion de fonctions du scan de code Lambda
<a name="scanning_resources_lambda_code_exclude_functions"></a>

 Vous pouvez ajouter des balises aux fonctions Lambda afin de les exclure des scans de code Lambda d'Amazon Inspector. Le fait d'exclure des fonctions des scans peut éviter des alertes inexploitables. Lorsque vous balisez une fonction pour l'exclure, la balise doit comporter la paire clé-valeur suivante. 
+  Clé : `InspectorCodeExclusion` 
+  Valeur — `LambdaCodeScanning` 

 Cette rubrique explique comment étiqueter une fonction pour l'exclure des analyses de code. Pour plus d'informations sur l'ajout de balises dans Lambda, consultez la section [Utilisation de balises dans les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Pour exclure une fonction des analyses de code**

1.  Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Lambda à l'adresse. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/) 

1.  Dans le volet de navigation, sélectionnez **Functions**. 

1.  Choisissez le nom de la fonction que vous souhaitez exclure des scans de code Lambda d'Amazon Inspector. 

1.  Sélectionnez **Configuration**, puis **Tags (Balises)**. 

1.  Choisissez **Gérer les balises**, puis **Ajouter une nouvelle balise**. 

   1. Pour **Key** (Clé), saisissez `InspectorCodeExclusion`.

   1.  Pour le champ **Value (Valeur)**, saisissez `LambdaCodeScanning`. 

1.  Choisissez **Save** (Enregistrer).