As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Lambda Funções de digitalização com o Amazon Inspector
<a name="scanning-lambda"></a>

 O suporte do Amazon Inspector para AWS Lambda funções e camadas fornece avaliações contínuas e automatizadas de vulnerabilidades de segurança. O Amazon Inspector oferece dois tipos de verificação para funções do Lambda: 

**[Escaneamento padrão do Lambda do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 Esse tipo de verificação é o padrão do Lambda. Ele verifica as dependências da aplicação em camadas e funções do Lambda em busca de [vulnerabilidades de pacotes](findings-types.md#findings-types-package). 

**[Escaneamento de código do Lambda do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 Esse tipo de verificação analisa o código da aplicação personalizada na função do Lambda e nas camadas em busca de [vulnerabilidades de código](findings-types.md#findings-types-code). Você pode ativar apenas a verificação padrão do Lambda ou ativar a verificação padrão do Lambda com a verificação de código do Lambda. 

 Se quiser ativar a verificação de código do Lambda, primeiro ative a verificação padrão do Lambda. Para ter mais informações, consulte [Activating a scan type](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). 

 Ao ativar a verificação de funções do Lambda, o Amazon Inspector cria os seguintes canais vinculados ao serviço a seguir em sua conta: `cloudtrail:CreateServiceLinkedChannel` e `cloudtrail:DeleteServiceLinkedChannel`. O Amazon Inspector gerencia esses canais e os usa para monitorar CloudTrail eventos para escaneamentos. Os canais permitem que você visualize CloudTrail eventos em sua conta como se tivesse entrado CloudTrail. Recomendamos criar sua própria trilha CloudTrail para gerenciar eventos em sua conta. Consulte informações sobre como visualizar esses canais em [Visualizar canais vinculados ao serviço](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html) no *Guia do usuário do AWS CloudTrail *. 

**nota**  
 O Amazon Inspector não permite verificações de [funções do Lambda criptografadas com chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html). Isso se aplica à verificação padrão do Lambda e à verificação de código do Lambda. 

## Comportamentos de verificação para escaneamento de funções do Lambda
<a name="lambda-scan-behavior"></a>

Após a ativação, o Amazon Inspector verifica todas as funções do Lambda invocadas ou atualizadas nos últimos 90 dias em sua conta. O Amazon Inspector inicia verificações de vulnerabilidade das funções do Lambda nas seguintes situações:
+ Assim que o Amazon Inspector descobre uma função do Lambda existente.
+ Ao implantar uma nova função do Lambda no serviço do Lambda.
+ Ao implantar uma atualização no código do aplicativo ou nas dependências de uma função do Lambda existente ou de suas camadas.
+ Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para sua função.

O Amazon Inspector monitora cada função do Lambda ao longo de sua vida útil até que ela seja apagada ou excluída da verificação.

Você pode verificar quando uma função do Lambda foi verificada pela última vez em busca de vulnerabilidades na guia **Funções do Lambda** da página **Gerenciamento de contas** ou usando a API [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html). O Amazon Inspector atualiza o campo **Última verificação em** para uma função do Lambda em resposta aos seguintes eventos:
+ Quando o Amazon Inspector conclui uma verificação inicial de uma função do Lambda.
+ Quando uma função do Lambda é atualizada.
+ Quando o Amazon Inspector verifica novamente uma função do Lambda porque um novo item de CVE que afeta essa função foi adicionado ao banco de dados do Amazon Inspector.

## Runtime com suporte e funções elegíveis
<a name="supported-functions"></a>

O Amazon Inspector suporta diferentes runtime para escaneamento padrão do Lambda e escaneamento de código do Lambda. Para obter uma lista dos tempos de execução com suporte para cada tipo de escaneamento, consulte [Runtime com suporte: ao escaneamento padrão do Lambda do Amazon Inspector](supported.md#supported-programming-languages-lambda-standard) e [Runtime com suporte: ao escaneamento de código do Lambda do Amazon Inspector](supported.md#supported-programming-languages-lambda-code).

Além de ter um runtime com suporte, uma função do Lambda precisa atender aos seguintes critérios para ser elegível para as verificações do Amazon Inspector:
+ A função foi invocada ou atualizada nos últimos 90 dias.
+ A função está marcada `$LATEST`.
+ A função não é excluída das verificações por tags.

**nota**  
As funções do Lambda que não foram invocadas ou modificadas nos últimos 90 dias são automaticamente excluídas das verificações. O Amazon Inspector retomará a verificação de uma função excluída automaticamente se ela for invocada novamente ou se forem feitas alterações no código da função do Lambda.

# Escaneamento padrão do Lambda do Amazon Inspector
<a name="scanning_resources_lambda"></a>

A verificação padrão do Lambda do Amazon Inspector identifica vulnerabilidades de software nas dependências do pacote de aplicativos adicionadas ao código e nas camadas da função do Lambda. Por exemplo, se sua função do Lambda usa uma versão do pacote de `python-jwt` com uma vulnerabilidade conhecida, o escaneamento padrão do Lambda gerará uma descoberta para essa função.

Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacote do aplicativo da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo de **Vulnerabilidade do pacote**.

Para obter instruções sobre como ativar um tipo de escaneamento, consulte [Ativar um tipo de verificação](activate-scans.md).

**nota**  
A verificação padrão do Lambda não verifica a dependência do SDK AWS instalada por padrão no ambiente de runtime do Lambda. O Amazon Inspector verifica apenas dependências carregadas com o código de função ou herdadas de uma camada.

**nota**  
Desativar o escaneamento padrão do Lambda do Amazon Inspector também desativará o escaneamento de código do Lambda do Amazon Inspector.

# Excluir as funções do escaneamento padrão do Lambda
<a name="scanning_resources_lambda_exclude_functions"></a>

 Você pode adicionar etiquetas a funções do Lambda para excluí-las das verificações padrão do Lambda no Amazon Inspector. A exclusão de funções das verificações pode evitar alertas que não exigem ação. Quando você adiciona uma etiqueta a uma função para exclusão, a etiqueta deve ter o seguinte par de chave/valor. 
+  Chave:`InspectorExclusion` 
+  Valor:`LambdaStandardScanning` 

 Este tópico descreve como adicionar etiquetas a uma função para exclusão das verificações. Para obter mais informações sobre como adicionar tags no Lambda, consulte [Usar tags nas funções do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Como excluir uma função das verificações**

1.  Faça login com suas credenciais e abra o console do Lambda em [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/). 

1.  No painel de navegação, escolha **Funções**. 

1.  Escolha o nome da função que você deseja excluir das verificações padrão do Lambda no Amazon Inspector. 

1.  Escolha **Configuration** (Configuração) e depois **Tags** (Etiquetas). 

1.  Selecione **Gerenciar etiquetas** e **Adicionar nova tag**. 

   1. Em **Chave**, digite `InspectorExclusion`.

   1.  Em **Value** (Valor), insira `LambdaStandardScanning` 

1.  Escolha **Salvar**. 

# Escaneamento de código do Lambda do Amazon Inspector
<a name="scanning_resources_lambda_code"></a>

**Importante**  
 Esse recurso captura trechos das funções do Lambda para destacar as vulnerabilidades detectadas. Esses trechos podem mostrar credenciais diretamente codificadas ou outros materiais confidenciais. 

 Com esse recurso, o Amazon Inspector escaneia o código da aplicação em uma função do Lambda em busca de vulnerabilidades de código, com base nas práticas recomendadas de segurança da AWS para detectar vazamentos de dados, falhas de injeção, criptografia ausente e criptografia fraca. O Amazon Inspector usa raciocínio automatizado e machine learning para avaliar o código da aplicação da função do Lambda. Ele também usa detectores internos desenvolvidos em colaboração com o Amazon Q para identificar violações de políticas e vulnerabilidades. 

 O Amazon Inspector gera uma [vulnerabilidade de código](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code) quando detecta uma vulnerabilidade no código da aplicação da função do Lambda. Esse tipo de descoberta inclui um trecho de código mostrando o problema e onde você pode encontrar esse problema no código. Também sugere como corrigir o problema. A sugestão inclui blocos de código plug-and-play que você pode usar para substituir as linhas de código vulneráveis. Essas correções de código são fornecidas além das orientações gerais de correção de código para esse tipo de descoberta. 

 As sugestões de correção de código são baseadas em raciocínio automatizado. Algumas sugestões de correção de código podem não funcionar conforme o esperado. Você é responsável pelas sugestões de correção de código que adota. Sempre analise as sugestões de correção de código antes de adotá-las. Talvez seja necessário editá-las para garantir que o código tenha o desempenho esperado. Para ter mais informações, consulte a [Política de uso responsável de IA](https://aws.amazon.com/machine-learning/responsible-ai/policy/). 

 Se quiser ativar a verificação de código do Lambda, primeiro ative a verificação padrão do Lambda. Para ter mais informações, consulte [Activating a scan type](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html). Para ter informações sobre quais Regiões da AWS oferecem suporte a esse recurso, consulte [Disponibilidade de recursos específicos da região](inspector_regions.md#ins-regional-feature-availability). 

## Criptografar seu código em descobertas de vulnerabilidade de código
<a name="lambda-code-encryption"></a>

 O Amazon Q armazena os trechos de código detectados em conexão com a descoberta de uma vulnerabilidade de código usando a verificação de código do Lambda. Por padrão, o Amazon Q controla [a chave de propriedade da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) usada para criptografar o código. No entanto, você pode usar sua própria chave gerenciada pelo cliente para criptografia por meio da API do Amazon Inspector. Para obter mais informações, consulte [Criptografia em repouso para código em suas descobertas](encryption-rest.md#encryption-code-snippets). 

# Excluir funções do escaneamento de código do Lambda
<a name="scanning_resources_lambda_code_exclude_functions"></a>

 Você pode adicionar etiquetas a funções do Lambda para excluí-las das verificações de código do Lambda no Amazon Inspector. A exclusão de funções das verificações pode evitar alertas que não exigem ação. Quando você adiciona uma etiqueta a uma função para exclusão, a etiqueta deve ter o seguinte par de chave/valor. 
+  Chave: – `InspectorCodeExclusion` 
+  Value (valor): – `LambdaCodeScanning` 

 Este tópico descreve como adicionar etiquetas a uma função para exclusão das verificações de código. Para obter mais informações sobre como adicionar tags no Lambda, consulte [Usar tags nas funções do Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html). 

**Como excluir uma função das verificações de código**

1.  Faça login com suas credenciais e abra o console do Lambda em [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/). 

1.  No painel de navegação, escolha **Funções**. 

1.  Escolha o nome da função que você deseja excluir das verificações de código do Lambda no Amazon Inspector. 

1.  Escolha **Configuration** (Configuração) e depois **Tags** (Etiquetas). 

1.  Selecione **Gerenciar etiquetas** e **Adicionar nova tag**. 

   1. Em **Chave**, digite `InspectorCodeExclusion`.

   1.  Em **Value** (Valor), insira `LambdaCodeScanning` 

1.  Escolha **Salvar**.