Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Lambda Fungsi pemindaian dengan Amazon Inspector
Dukungan Amazon Inspector untuk AWS Lambda fungsi dan lapisan menyediakan penilaian kerentanan keamanan otomatis yang berkelanjutan. Amazon Inspector menawarkan dua jenis pemindaian fungsi Lambda:
**[Pemindaian standar Amazon Inspector Lambda](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**
Jenis pemindaian ini adalah jenis pemindaian Lambda default. [Ini memindai dependensi aplikasi dalam fungsi dan lapisan Lambda untuk kerentanan paket.](findings-types.md#findings-types-package)
**[Pemindaian kode Amazon Inspector Lambda](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**
Jenis pemindaian ini memindai kode aplikasi khusus di fungsi dan lapisan Lambda Anda [untuk](findings-types.md#findings-types-code) kerentanan kode. Anda dapat mengaktifkan pemindaian standar Lambda atau pemindaian standar Lambda dengan pemindaian kode Lambda.
Jika Anda ingin mengaktifkan pemindaian kode Lambda, Anda harus mengaktifkan pemindaian standar Lambda terlebih dahulu. Untuk informasi selengkapnya, lihat [Mengaktifkan jenis pemindaian](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html).
Saat Anda mengaktifkan pemindaian fungsi Lambda, Amazon Inspector membuat saluran terkait layanan berikut di akun Anda: dan. `cloudtrail:CreateServiceLinkedChannel` `cloudtrail:DeleteServiceLinkedChannel` Amazon Inspector mengelola saluran ini dan menggunakannya untuk memantau CloudTrail peristiwa untuk pemindaian. Saluran memungkinkan Anda untuk melihat CloudTrail acara di akun Anda seolah-olah Anda memiliki jejak CloudTrail. Sebaiknya buat jejak Anda sendiri CloudTrail untuk mengelola acara di akun Anda. Untuk informasi tentang cara melihat saluran ini, lihat [Melihat saluran terkait layanan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html) di *AWS CloudTrail Panduan Pengguna*.
**catatan**
Amazon Inspector tidak mendukung pemindaian [fungsi Lambda yang dienkripsi](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) dengan kunci yang dikelola pelanggan. Ini berlaku untuk pemindaian standar Lambda dan pemindaian kode Lambda.
## Memindai perilaku untuk pemindaian fungsi Lambda
Setelah aktivasi, Amazon Inspector memindai semua fungsi Lambda yang dipanggil atau diperbarui dalam 90 hari terakhir di akun Anda. Amazon Inspector memulai pemindaian kerentanan fungsi Lambda dalam situasi berikut:
+ Segera setelah Amazon Inspector menemukan fungsi Lambda yang ada.
+ Saat Anda menerapkan fungsi Lambda baru ke layanan Lambda.
+ Saat Anda menerapkan pembaruan ke kode aplikasi atau dependensi fungsi Lambda yang ada atau lapisannya.
+ Setiap kali Amazon Inspector menambahkan item common vulnerabilities and exposure (CVE) baru ke database-nya, dan CVE tersebut relevan dengan fungsi Anda.
Amazon Inspector memantau setiap fungsi Lambda sepanjang masa pakainya hingga dihapus atau dikecualikan dari pemindaian.
Anda dapat memeriksa kapan fungsi Lambda terakhir diperiksa untuk kerentanan dari tab **fungsi Lambda** di halaman **Manajemen akun** atau dengan menggunakan API. [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) Amazon Inspector memperbarui bidang **Terakhir dipindai di** untuk fungsi Lambda sebagai respons terhadap peristiwa berikut:
+ Saat Amazon Inspector menyelesaikan pemindaian awal fungsi Lambda.
+ Saat fungsi Lambda diperbarui.
+ Saat Amazon Inspector memindai ulang fungsi Lambda karena item CVE baru yang memengaruhi fungsi tersebut ditambahkan ke database Amazon Inspector.
## Runtime yang didukung dan fungsi yang memenuhi syarat
Amazon Inspector mendukung runtime yang berbeda untuk pemindaian standar Lambda dan pemindaian kode Lambda. Untuk daftar runtime yang didukung untuk setiap jenis pemindaian, lihat [Runtime yang didukung: Pemindaian standar Amazon Inspector Lambda](supported.md#supported-programming-languages-lambda-standard) dan[Runtime yang didukung: Pemindaian kode Amazon Inspector Lambda](supported.md#supported-programming-languages-lambda-code).
Selain memiliki runtime yang didukung, fungsi Lambda harus memenuhi kriteria berikut agar memenuhi syarat untuk pemindaian Amazon Inspector:
+ Fungsi telah dipanggil atau diperbarui dalam 90 hari terakhir.
+ Fungsinya ditandai`$LATEST`.
+ Fungsi ini tidak dikecualikan dari pemindaian oleh tag.
**catatan**
Fungsi Lambda yang belum dipanggil atau dimodifikasi dalam 90 hari terakhir secara otomatis dikecualikan dari pemindaian. Amazon Inspector akan melanjutkan pemindaian fungsi yang dikecualikan secara otomatis jika dipanggil lagi atau jika perubahan dilakukan pada kode fungsi Lambda.
# Pemindaian standar Amazon Inspector Lambda
Pemindaian standar Amazon Inspector Lambda mengidentifikasi kerentanan perangkat lunak dalam dependensi paket aplikasi yang Anda tambahkan ke kode fungsi dan lapisan Lambda Anda. Misalnya, jika fungsi Lambda Anda menggunakan versi `python-jwt` paket dengan kerentanan yang diketahui, pemindaian standar Lambda akan menghasilkan temuan untuk fungsi itu.
**Jika Amazon Inspector mendeteksi kerentanan dalam dependensi paket aplikasi fungsi Lambda Anda, Amazon Inspector akan menghasilkan temuan tipe Package Vulnerability yang terperinci.**
Untuk petunjuk tentang mengaktifkan jenis pemindaian lihat[Mengaktifkan jenis pemindaian](activate-scans.md).
**catatan**
Pemindaian standar Lambda tidak memindai ketergantungan AWS SDK yang diinstal secara default di lingkungan runtime Lambda. Amazon Inspector hanya memindai dependensi yang diunggah dengan kode fungsi atau diwarisi dari lapisan.
**catatan**
Menonaktifkan pemindaian standar Amazon Inspector Lambda juga akan menonaktifkan pemindaian kode Amazon Inspector Lambda.
# Tidak termasuk fungsi dari pemindaian standar Lambda
Anda dapat menambahkan tag ke fungsi Lambda, sehingga Anda dapat mengecualikannya dari pemindaian standar Amazon Inspector Lambda. Mengecualikan fungsi dari pemindaian dapat mencegah peringatan yang tidak dapat ditindaklanjuti. Saat Anda menandai fungsi untuk pengecualian, tag harus memiliki pasangan kunci-nilai berikut.
+ Kunci: `InspectorExclusion`
+ Nilai: `LambdaStandardScanning`
Topik ini menjelaskan cara menandai fungsi untuk pengecualian dari pemindaian. Untuk informasi selengkapnya tentang menambahkan tag di Lambda, lihat [Menggunakan tag pada fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html).
**Untuk mengecualikan fungsi dari pemindaian**
1. Masuk menggunakan kredensialmu, lalu buka konsol Lambda di. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)
1. Dari panel navigasi, pilih **Fungsi**.
1. Pilih nama fungsi yang ingin Anda kecualikan dari pemindaian standar Amazon Inspector Lambda.
1. Pilih **Konfigurasi**, lalu pilih **Tag**.
1. Pilih **Kelola tag**, lalu **Tambahkan tag baru**.
1. Untuk **Kunci**, masukkan `InspectorExclusion`.
1. Untuk **Nilai**, masukkan `LambdaStandardScanning`.
1. Pilih **Simpan**.
# Pemindaian kode Amazon Inspector Lambda
**penting**
Fitur ini menangkap cuplikan fungsi Lambda untuk menyoroti kerentanan yang terdeteksi. Cuplikan ini dapat menunjukkan kredensi hardcode dan materi sensitif lainnya.
Dengan fitur ini, Amazon Inspector memindai kode aplikasi dalam fungsi Lambda untuk kerentanan kode berdasarkan praktik terbaik AWS keamanan untuk mendeteksi kebocoran data, cacat injeksi, enkripsi yang hilang, dan kriptografi yang lemah. Amazon Inspector menggunakan penalaran otomatis dan pembelajaran mesin untuk mengevaluasi kode aplikasi fungsi Lambda Anda. Ini juga menggunakan detektor internal yang dikembangkan bekerja sama dengan Amazon Q untuk mengidentifikasi pelanggaran kebijakan dan kerentanan.
Amazon Inspector menghasilkan [kerentanan kode](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code) saat mendeteksi kerentanan dalam kode aplikasi fungsi Lambda Anda. Jenis temuan ini menyertakan cuplikan kode yang menunjukkan masalah dan di mana Anda dapat menemukan masalah dalam kode Anda. Ini juga menyarankan bagaimana memperbaiki masalah ini. Saran tersebut mencakup blok plug-and-play kode yang dapat Anda gunakan untuk mengganti baris kode yang rentan. Perbaikan kode ini disediakan selain panduan remediasi kode umum untuk jenis temuan ini.
Saran remediasi kode didukung oleh penalaran otomatis. Beberapa saran remediasi kode mungkin tidak berfungsi sebagaimana dimaksud. Anda bertanggung jawab atas saran remediasi kode yang Anda adopsi. Selalu tinjau saran remediasi kode sebelum mengadopsinya. Anda mungkin perlu mengeditnya untuk memastikan kode Anda berfungsi sebagaimana dimaksud. Untuk informasi selengkapnya, lihat [Kebijakan AI yang Bertanggung Jawab](https://aws.amazon.com/machine-learning/responsible-ai/policy/).
Jika Anda ingin mengaktifkan pemindaian kode Lambda, Anda harus mengaktifkan pemindaian standar Lambda terlebih dahulu. Untuk informasi selengkapnya, lihat [Mengaktifkan jenis pemindaian](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Untuk informasi tentang yang Wilayah AWS mendukung fitur ini, lihat[Ketersediaan fitur khusus wilayah](inspector_regions.md#ins-regional-feature-availability).
## Mengenkripsi kode Anda dalam temuan kerentanan kode
Amazon Q menyimpan cuplikan kode yang terdeteksi sehubungan dengan temuan kerentanan kode menggunakan pemindaian kode Lambda. Secara default, Amazon Q mengontrol [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) yang digunakan untuk mengenkripsi kode Anda. Namun, Anda dapat menggunakan kunci terkelola pelanggan Anda sendiri untuk enkripsi melalui Amazon Inspector API. Lihat informasi yang lebih lengkap di [Enkripsi saat istirahat untuk kode dalam temuan Anda](encryption-rest.md#encryption-code-snippets).
# Tidak termasuk fungsi dari pemindaian kode Lambda
Anda dapat menambahkan tag ke fungsi Lambda, sehingga Anda dapat mengecualikannya dari pemindaian kode Amazon Inspector Lambda. Mengecualikan fungsi dari pemindaian dapat mencegah peringatan yang tidak dapat ditindaklanjuti. Saat Anda menandai fungsi untuk pengecualian, tag harus memiliki pasangan kunci-nilai berikut.
+ Kunci – `InspectorCodeExclusion`
+ Nilai - `LambdaCodeScanning`
Topik ini menjelaskan cara menandai fungsi untuk pengecualian dari pemindaian kode. Untuk informasi selengkapnya tentang menambahkan tag di Lambda, lihat [Menggunakan tag pada fungsi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html).
**Untuk mengecualikan fungsi dari pemindaian kode**
1. Masuk menggunakan kredensialmu, lalu buka konsol Lambda di. [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)
1. Dari panel navigasi, pilih **Fungsi**.
1. Pilih nama fungsi yang ingin Anda kecualikan dari pemindaian kode Amazon Inspector Lambda.
1. Pilih **Konfigurasi**, lalu pilih **Tag**.
1. Pilih **Kelola tag**, lalu **Tambahkan tag baru**.
1. Untuk **Kunci**, masukkan `InspectorCodeExclusion`.
1. Untuk **Nilai**, masukkan `LambdaCodeScanning`.
1. Pilih **Simpan**.