本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 調查結果類型
本節說明 Amazon Inspector 中的不同調查結果類型。
套件漏洞
套件漏洞調查結果會識別您 AWS 環境中暴露於常見漏洞和暴露的軟體套件 (CVEs)。攻擊者可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性,或存取其他系統。CVE 系統是公開已知資訊安全漏洞和暴露的參考方法。如需詳細資訊,請參閱 https://https://www.cve.org/
Amazon Inspector 可以為EC2執行個體、ECR容器映像和 Lambda 函數產生套件漏洞調查結果。套件漏洞調查結果具有此調查結果類型特有的其他詳細資訊,這些是 Inspector 分數和漏洞情報 。
程式碼漏洞
程式碼漏洞調查結果會識別程式碼中攻擊者可以利用的行。程式碼漏洞包括注入缺陷、資料洩漏、密碼編譯薄弱或程式碼缺少加密。
Amazon Inspector 會使用自動推理和機器學習來分析應用程式程式碼,以保證整體安全合規,藉此評估您的 Lambda 函數應用程式程式碼。它根據與 Amazon 合作開發的內部偵測器來識別政策違規和漏洞 CodeGuru。如需可能偵測的清單,請參閱CodeGuru 偵測器程式庫 。
重要
Amazon Inspector 程式碼掃描會擷取程式碼片段,以反白顯示偵測到的漏洞。這些程式碼片段可能會以純文字顯示硬式編碼憑證或其他敏感資料。
如果您啟用 Amazon Inspector Lambda 程式碼掃描 ,Amazon Inspector 可以為 Lambda 函數產生程式碼漏洞調查結果。 Amazon Inspector
CodeGuru 服務會儲存偵測到與程式碼漏洞相關的程式碼片段。依預設,由 控制的AWS 擁有金鑰 CodeGuru 會用來加密程式碼,不過,您可以使用自己的客戶受管金鑰,透過 Amazon Inspector 進行加密API。如需詳細資訊,請參閱 靜態加密調查結果中的程式碼。
網路可及性
網路可及性調查結果指出您環境中有 Amazon EC2執行個體的開放網路路徑。當您的 TCP和 UDP 連接埠可從VPC邊緣連線時,例如網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後面VPN的執行個體)、VPC對等連線,或透過虛擬閘道存取 時,就會顯示這些調查結果。這些調查結果強調了可能過度寬鬆的網路組態,例如管理不當的安全群組、存取控制清單或網際網路閘道,或可能允許潛在惡意存取。
Amazon Inspector 只會產生 Amazon EC2執行個體的網路可及性調查結果。啟用 Amazon Inspector 後,Amazon Inspector 會每 24 小時執行網路可及性調查結果的掃描。
Amazon Inspector 會在掃描網路路徑時評估下列組態:
