本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Inspector `InspectorScan` 調用動作參考
Amazon Inspector 是一種漏洞管理服務,可自動探索工作負載,並持續掃描是否有軟體漏洞和意外的網路暴露。CodePipeline 中的 `InspectorScan`動作會自動偵測和修正開放原始碼中的安全漏洞。動作是具有安全掃描功能的受管運算動作。您可以在第三方儲存庫中使用 InspectorScan 搭配應用程式原始碼,例如 GitHub 或 Bitbucket Cloud,或搭配容器應用程式的影像。您的動作將掃描並報告您設定的漏洞層級和提醒。
**重要**
此動作使用 CodePipeline 受管 CodeBuild 運算在建置環境中執行命令。執行動作會產生個別費用 AWS CodeBuild。
**Topics**
+ [動作類型 ID](#action-reference-InspectorScan-type)
+ [組態參數](#action-reference-InspectorScan-parameters)
+ [Input artifacts (輸入成品)](#action-reference-InspectorScan-input)
+ [輸出成品](#action-reference-InspectorScan-output)
+ [輸出變數](#w2aac56c62c19)
+ [服務角色許可:`InspectorScan`動作](#edit-role-InspectorScan)
+ [動作宣告](#w2aac56c62c23)
+ [另請參閱](#action-reference-InspectorScan-links)
## 動作類型 ID
+ 類別:`Invoke`
+ 擁有者:`AWS`
+ 提供者:`InspectorScan`
+ 版本:`1`
範例:
```
{
"Category": "Invoke",
"Owner": "AWS",
"Provider": "InspectorScan",
"Version": "1"
},
```
## 組態參數
**InspectorRunMode**
(必要) 表示掃描模式的字串。有效值為 `SourceCodeScan | ECRImageScan`。
**ECRRepositoryName**
推送映像的 Amazon ECR 儲存庫名稱。
**ImageTag**
用於映像的標籤。
此動作的參數會掃描您指定的漏洞層級。可用的漏洞閾值層級如下:
**CriticalThreshold **
在來源中發現的關鍵嚴重性漏洞數量,超過此數量後 CodePipeline 應該使動作失敗。
**HighThreshold **
在來源中找到的高嚴重性漏洞數量,超過此數量後 CodePipeline 應該會讓動作失敗。
**MediumThreshold**
在來源中找到的中等嚴重性漏洞數量,超過此數量後 CodePipeline 應該會讓動作失敗。
**LowThreshold **
在來源中找到的低嚴重性漏洞數量,超過此數量後 CodePipeline 應該會讓動作失敗。
![\[\]](http://docs.aws.amazon.com/zh_tw/codepipeline/latest/userguide/images/inspectorscan-edit.png)
## Input artifacts (輸入成品)
+ **成品數量:** `1`
+ **描述:**要掃描漏洞的原始程式碼。如果掃描適用於 ECR 儲存庫,則不需要此輸入成品。
## 輸出成品
+ **成品數量:** `1`
+ **描述:**軟體物料清單 (SBOM) 檔案形式的來源漏洞詳細資訊。
## 輸出變數
設定時,此動作會產生變數,供管道中的下游動作的動作組態所參考。即使此動作沒有命名空間,此動作產生的變數仍可視為輸出變數。您可以設定動作的命名空間,讓這些變數可供下游動作的組態使用。
如需詳細資訊,請參閱[變數參考](reference-variables.md)。
**HighestScannedSeverity **
來自掃描的最高嚴重性輸出。有效值為 `medium | high | critical`。
## 服務角色許可:`InspectorScan`動作
如需 `InspectorScan`動作支援,請將下列內容新增至您的政策陳述式:
```
{
"Effect": "Allow",
"Action": "inspector-scan:ScanSbom",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "resource_ARN"
},
```
此外,如果 命令動作尚未新增,請將下列許可新增至您的服務角色,以檢視 CloudWatch 日誌。
```
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "resource_ARN"
},
```
**注意**
使用服務角色政策陳述式中的資源型許可,將許可範圍縮小到管道資源層級。
## 動作宣告
------
#### [ YAML ]
```
name: Scan
actionTypeId:
category: Invoke
owner: AWS
provider: InspectorScan
version: '1'
runOrder: 1
configuration:
InspectorRunMode: SourceCodeScan
outputArtifacts:
- name: output
inputArtifacts:
- name: SourceArtifact
region: us-east-1
```
------
#### [ JSON ]
```
{
"name": "Scan",
"actionTypeId": {
"category": "Invoke",
"owner": "AWS",
"provider": "InspectorScan",
"version": "1"
},
"runOrder": 1,
"configuration": {
"InspectorRunMode": "SourceCodeScan"
},
"outputArtifacts": [
{
"name": "output"
}
],
"inputArtifacts": [
{
"name": "SourceArtifact"
}
],
"region": "us-east-1"
},
```
------
## 另請參閱
以下相關資源可協助您使用此動作。
+ 如需 Amazon Inspector 的詳細資訊,請參閱《[Amazon Inspector](https://aws.amazon.com/inspector/) 使用者指南》。