AWS Lambda Funzioni di scansione con Amazon Inspector - Amazon Inspector
Comportamenti di scansione per la scansione della funzione LambdaRuntime e funzioni supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Lambda Funzioni di scansione con Amazon Inspector

Il supporto di Amazon Inspector per AWS Lambda funzioni e livelli fornisce valutazioni automatiche e continue delle vulnerabilità di sicurezza. Amazon Inspector offre due tipi di scansione della funzione Lambda:

Scansione standard Amazon Inspector Lambda

Questo è il tipo di scansione Lambda predefinito. La scansione standard Lambda analizza le dipendenze delle applicazioni all'interno di una funzione Lambda e i livelli per individuare le vulnerabilità dei pacchetti.

Scansione del codice Amazon Inspector Lambda

Questo tipo di scansione analizza il codice dell'applicazione personalizzato nella funzione Lambda e nei livelli per individuare eventuali vulnerabilità del codice. È possibile attivare la scansione standard Lambda o attivare la scansione standard Lambda con la scansione del codice Lambda.

Quando attivi la scansione della funzione Lambda, Amazon Inspector crea i AWS CloudTrail seguenti canali collegati ai servizi nel tuo account: e. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gestisce questi canali e li utilizza per monitorare i tuoi CloudTrail eventi per le scansioni. Questi canali ti consentono di vedere CloudTrail gli eventi nel tuo account come se avessi una traccia. CloudTrail Ti consigliamo di creare un percorso personalizzato CloudTrail per gestire gli eventi del tuo account.

Per informazioni su come attivare la scansione della funzione Lambda, vedere Attivazione di un tipo di scansione. Questa sezione fornisce informazioni sulla scansione della funzione Lambda.

Comportamenti di scansione per la scansione della funzione Lambda

Al momento dell'attivazione, Amazon Inspector analizza tutte le funzioni Lambda richiamate o aggiornate negli ultimi 90 giorni nel tuo account. Amazon Inspector avvia scansioni di vulnerabilità delle funzioni Lambda nelle seguenti situazioni:

  • Non appena Amazon Inspector rileva una funzione Lambda esistente.

  • Quando si distribuisce una nuova funzione Lambda nel servizio Lambda.

  • Quando si implementa un aggiornamento al codice dell'applicazione o alle dipendenze di una funzione Lambda esistente o dei relativi livelli.

  • Ogni volta che Amazon Inspector aggiunge un nuovo elemento Common Vulnerabilities and Exposures (CVE) al suo database, e ciò CVE è rilevante per la tua funzione.

Amazon Inspector monitora ogni funzione Lambda per tutta la sua durata fino a quando non viene eliminata o esclusa dalla scansione.

Puoi verificare quando una funzione Lambda è stata verificata l'ultima volta per verificare la presenza di vulnerabilità dalla scheda Funzioni Lambda nella pagina Gestione dell'account o utilizzando il ListCoverageAPI. Amazon Inspector aggiorna il campo Last scanned at per una funzione Lambda in risposta ai seguenti eventi:

  • Quando Amazon Inspector completa una scansione iniziale di una funzione Lambda.

  • Quando viene aggiornata una funzione Lambda.

  • Quando Amazon Inspector esegue nuovamente la scansione di una funzione Lambda perché un CVE nuovo elemento che influisce su tale funzione è stato aggiunto al database Amazon Inspector.

Runtime e funzioni idonee supportati

Amazon Inspector supporta diversi runtime per la scansione standard Lambda e la scansione del codice Lambda. Per un elenco dei runtime supportati per ogni tipo di scansione, consulta e. Runtime supportati: scansione standard di Amazon Inspector Lambda Runtime supportati: scansione del codice Amazon Inspector Lambda

Oltre a disporre di un runtime supportato, una funzione Lambda deve soddisfare i seguenti criteri per essere idonea alle scansioni di Amazon Inspector:

  • La funzione è stata richiamata o aggiornata negli ultimi 90 giorni.

  • La funzione è contrassegnata$LATEST.

  • La funzione non è esclusa dalle scansioni per tag.

Nota

Le funzioni Lambda che non sono state richiamate o modificate negli ultimi 90 giorni vengono automaticamente escluse dalle scansioni. Amazon Inspector riprenderà la scansione di una funzione esclusa automaticamente se viene richiamata nuovamente o se vengono apportate modifiche al codice della funzione Lambda.