本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon Inspector 掃描 AWS Lambda 函數
Amazon Inspector 支援 AWS Lambda 函數和 layer,提供持續自動化的安全漏洞評估。Amazon Inspector 提供兩種類型的 Lambda 函數掃描:
Amazon Inspector Lambda 標準掃描
這是預設的 Lambda 掃描類型。Lambda 標準掃描會掃描 Lambda 函數和層內的應用程式相依性,以找出套件漏洞。
Amazon Inspector Lambda 程式碼掃描
此掃描類型會掃描 Lambda 函數和 layer 中的自訂應用程式程式碼,以找出程式碼漏洞。您可以啟用 Lambda 標準掃描,或使用 Lambda 程式碼掃描啟用 Lambda 標準掃描。
當您啟用 Lambda 函數掃描時,Amazon Inspector 會在您的帳戶中建立下列AWS CloudTrail 服務連結頻道: cloudtrail:CreateServiceLinkedChannel和 cloudtrail:DeleteServiceLinkedChannel。Amazon Inspector 會管理這些頻道,並使用它們來監控 CloudTrail 事件以進行掃描。這些頻道可讓您在帳戶中查看 CloudTrail 事件,就像在 CloudTrail 中擁有線索一樣。我們建議您在 CloudTrail 中建立自己的線索,以管理帳戶的事件。
如需如何啟用 Lambda 函數掃描的資訊,請參閱啟用掃描類型。本節提供有關 Lambda 函數掃描的資訊。
Lambda 函數掃描的掃描行為
啟用時,Amazon Inspector 會掃描您帳戶中過去 90 天內叫用或更新的所有 Lambda 函數。Amazon Inspector 會在下列情況中啟動 Lambda 函數的漏洞掃描:
-
一旦 Amazon Inspector 發現現有 Lambda 函數。
-
當您將新的 Lambda 函數部署到 Lambda 服務時。
-
當您對現有的 Lambda 函數或其層的應用程式程式碼或相依性部署更新時。
-
每當 Amazon Inspector 新增一個常見漏洞和暴露 (CVE) 項目到其資料庫,而該 CVE 與您的函數相關時。
Amazon Inspector 會在整個 Lambda 函數生命週期內監控每個 Lambda 函數,直到它遭到刪除或排除在掃描之外為止。
您可以在帳戶管理頁面上的 Lambda 函數索引標籤,或使用 ListCoverage API 檢查 Lambda 函數上次檢查漏洞的時間。Amazon Inspector 會更新 Lambda 函數的上次掃描欄位,以回應下列事件:
-
當 Amazon Inspector 完成 Lambda 函數的初始掃描時。
-
更新 Lambda 函數時。
-
當 Amazon Inspector 重新掃描 Lambda 函數時,因為影響該函數的新 CVE 項目已新增至 Amazon Inspector 資料庫。
支援的執行期和合格的函數
Amazon Inspector 支援 Lambda 標準掃描和 Lambda 程式碼掃描的不同執行時間。如需每種掃描類型支援的執行時間清單,請參閱 支援的執行時間:Amazon Inspector Lambda 標準掃描和 支援的執行時間:Amazon Inspector Lambda 程式碼掃描。
除了具有支援的執行時間之外,Lambda 函數也需要符合下列條件,才符合 Amazon Inspector 掃描的資格:
-
在過去 90 天內已叫用或更新函數。
-
函數會標示為
$LATEST。 -
該函數不會從標籤掃描中排除。
注意
在過去 90 天內未叫用或修改的 Lambda 函數會自動從掃描中排除。如果再次叫用 或 Lambda 函數程式碼有所變更,Amazon Inspector 會繼續掃描自動排除的函數。
