本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 查找类型
本节介绍了 Amazon Inspector 中的不同查找类型。
程序包脆弱性
Package 漏洞发现可识别您的 AWS 环境中暴露于常见漏洞和漏洞的软件包(CVEs)。攻击者可以利用这些未修补的脆弱性来破坏数据的保密性、完整性或可用性,或访问其他系统。该CVE系统是众所周知的信息安全漏洞和暴露的参考方法。欲了解更多信息,请参阅 https://www.cve.org/
Amazon Inspector 可以为EC2实例、ECR容器映像和 Lambda 函数生成软件包漏洞调查结果。程序包脆弱性调查发现具有该调查发现类型所特有的额外详细信息,即 Inspector 评分和脆弱性情报。
代码脆弱性
代码脆弱性调查发现可识别代码中可能被攻击者利用的代码行。代码脆弱性包括注入缺陷、数据泄露、弱加密或代码中缺少加密。
Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码,分析应用程序代码的总体安全合规性。它基于与 Amazon 合作开发的内部检测器来识别违反政策的行为和漏洞 CodeGuru。有关可能检测的列表,请参阅探CodeGuru 测器库。
重要
Amazon Inspector 代码扫描可捕获代码片段以突出显示检测到的脆弱性。这些片段可能以纯文本形式显示硬编码的凭证或其他敏感材料。
如果您启用 Amazon Inspector Lambda 代码扫描,Amazon Inspector 可以为 Lambda 函数生成代码漏洞发现。
检测到的与代码漏洞相关的代码片段由该 CodeGuru 服务存储。默认情况下,由 CodeGuru 控制的AWS 自有密钥用于加密您的代码,但是,您可以通过 Amazon Inspector 使用自己的客户托管密钥进行加密API。有关更多信息,请参阅对调查发现中的代码进行静态加密。
网络可达性
网络可访问性调查结果表明,您的环境中存在通往 Amazon EC2 实例的开放网络路径。当您的TCP和UDP端口可以从VPC边缘(例如互联网网关(包括应用程序负载均衡器或经典负载均衡器后面的实例)、对等连接或VPN通过虚拟网关访问时,就会出现这些发现。VPC这些调查发现突出显示了可能过于宽松的网络配置,例如管理不善的安全组、访问控制列表或互联网网关,或者网络配置可能允许潜在的恶意访问。
Amazon Inspector 仅生成亚马逊EC2实例的网络可访问性调查结果。启用 Amazon Inspector 后,Amazon Inspector 每 24 小时扫描一次网络可访问性发现。
Amazon Inspector 在扫描网络路径时会评估以下配置:
