Amazon Inspector 掃描 AWS Lambda 功能 - Amazon Inspector
Lambda 函數掃描的掃描行為支援的執行階段和功能Lambda 準掃描Lambda 程式碼掃描

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Inspector 掃描 AWS Lambda 功能

Amazon Inspector 對 AWS Lambda 功能的支援可為 Lambda 函數和層提供持續、自動化的安全漏洞評估。Amazon Inspector 提供兩種類型的 Lambda 掃描。這些掃描類型會尋找不同類型的弱點。

Amazon Inspector Lambda 標準

這是預設的 Lambda 掃描類型。Lambda 標準掃描會掃描 Lambda 函數及其層中的應用程式相依性,找出套件漏洞。如需詳細資訊,請參閱 Lambda 準掃描

Amazon Inspector Lambda 代碼

此掃描類型會掃描函數和層中的自訂應用程式程式碼,以找出程式碼弱點。您可以啟動 Lambda 標準掃描,或同時啟動 Lambda 標準掃描和 Lambda 程式碼掃描。如需詳細資訊,請參閱 Amazon Inspector Lambda 代碼

當您啟用 Lambda 掃描時,Amazon Inspector 會在您的帳戶中建立下列 AWS CloudTrail 服務連結通道:

  • cloudtrail:CreateServiceLinkedChannel

  • cloudtrail:DeleteServiceLinkedChannel

Amazon Inspector 會管理這些通道,並使用這些通道監控您的 CloudTrail 事件以進行掃描。如需有關服務連結通道的詳細資訊,請參閱使用 CLI 檢視的服務連結 CloudTrail 通道。 AWS

注意

Amazon Inspector 建立的服務連結管道可讓您查看帳戶中的 CloudTrail 事件,就像有 CloudTrail 追蹤一樣,不過,我們建議您建立自己的管道 CloudTrail 來管理帳戶的事件。

如需啟用 Lambda 函數掃描的指示,請參閱啟動掃瞄類型

Lambda 函數掃描的掃描行為

啟用後,Amazon Inspector 會掃描您帳戶中過去 90 天內叫用或更新的所有 Lambda 函數。在下列情況下,Amazon Inspector 會啟動 Lambda 函數的弱點掃描:

  • 一旦 Amazon Inspector 發現現有的 Lambda 函數。

  • 當您將新的 Lambda 函數部署到 Lambda 服務時。

  • 當您對現有的 Lambda 函數或其層的應用程式程式碼或相依性部署更新時。

  • 每當 Amazon Inspector 新增一個常見漏洞和暴露 (CVE) 項目到其資料庫,而該 CVE 與您的函數相關時。

Amazon Inspector 會在整個使用期間監控每個 Lambda 函數,直到將其刪除或從掃描中排除為止。

您可以從帳戶管理頁面上的 Lambda 函數索引標籤或使用 ListCoverageAPI 來檢查 Lambda 函數是否有漏洞的最後一次檢查時間。Amazon Inspector 會更新 Lambda 函數的「上次掃描時間」欄位,以回應下列事件:

  • 當 Amazon Inspector 完成 Lambda 函數的初始掃描時。

  • 當一個 Lambda 函數被更新。

  • 當 Amazon Inspector 重新掃描 Lambda 函數時,因為影響該函數的新 CVE 項目已添加到 Amazon Inspector 數據庫中。

支援的執行階段和合格函數

Amazon Inspector 支援 Lambda 標準掃描和 Lambda 程式碼掃描的不同執行階段 如需每種掃瞄類型支援的執行階段清單,請參閱支援的執行階段:Amazon Inspector Lambda 標準支援的執行階段:Amazon Inspector Lambda 程式

除了具有受支援的執行階段之外,Lambda 函數還需要符合下列條件,才能符合 Amazon Inspector 掃描的資格:

  • 該函數在過去 90 天內已被調用或更新。

  • 該功能被標記$LATEST

  • 該功能不會從標籤的掃描中排除。

注意

過去 90 天內未叫用或修改的 Lambda 函數會自動從掃描中排除。如果再次呼叫自動排除的函數,或對 Lambda 函數程式碼進行變更,Amazon Inspector 將繼續掃描該函數。

Amazon Inspector Lambda 標準

Amazon Inspector Lambda 標準掃描可識別您新增至 Lambda 函數程式碼和層的應用程式套件相依性中的軟體弱點。例如,如果您的 Lambda 函數使用具有已知漏洞的python-jwt套件版本,則 Lambda 標準掃描將為該函數產生一個發現項目。

如果 Amazon Inspector 在您的 Lambda 函數應用程式 Package 相依性中偵測到漏洞,Amazon Inspector 會產生詳細的套件漏洞類型發現。

如需啟動掃瞄類型的指示,請參閱啟動掃瞄類型

注意

Lambda 標準掃描不會掃描預設安裝在 Lambda 執行階段環境中的 AWS SDK 相依性。Amazon Inspector 只會掃描使用函數程式碼上傳或從圖層繼承而來的相依性。

注意

停用 Amazon Inspector Lambda 標準掃描也會停用 Amazon Inspector Lambda 代碼掃描。

從 Lambda 標準掃描中排除函數

您可以標記某些函數,將它們排除在 Amazon Inspector Lambda 標準掃描之外。從掃描中排除功能有助於防止無法執行的警示。

若要從 Lambda 標準掃描中排除 Lambda 函數,請使用下列索引鍵值組標記函數:

  • 關鍵字:InspectorExclusion

  • 值:LambdaStandardScanning

若要從 Lambda 標準掃描中排除函數

  1. 開啟 Lambda 主控台,網址為 https://console.aws.amazon.com/lambda/

  2. 選取函數

  3. 從函數表格中,選取您要從 Amazon Inspector Lambda 標準掃描中排除的函數名稱。

  4. 選擇配置,然後從菜單中選擇標籤

  5. 選取管理標籤,然後選取新增標籤

  6. 在「機」欄位中輸入InspectorExclusion,然後在「」欄位中輸入LambdaStandardScanning

  7. 選取儲存以新增標籤,並從 Amazon Inspector Lambda 標準掃描中排除您的函數。

如需在 Lambda 中新增標籤的詳細資訊,請參閱在 L ambda 函數上使用標籤

Amazon Inspector Lambda 代碼

重要

程式碼掃描會從 Lambda 函數擷取程式碼片段,以反白顯示偵測 這些片段可能會以明文顯示硬式編碼的憑證或其他敏感資料。

Amazon Inspector Lambda 程式碼掃描會根據 AWS 安全最佳實務,掃描 Lambda 函數中的自訂應用程式程式碼,找出程式碼弱 Lambda 程式碼掃描可以偵測程式碼中的插入瑕疵、資料外洩、弱式密碼編譯或遺漏的加密。如需有關可用區域的資訊,請參閱區域特定功能的可用性

Lambda 標準掃描是評估函數中常見漏洞和暴露 (CVE) 所使用之應用程式套件相依性的功能。您可以使用 Lambda 標準掃描來啟動 Lambda 程式碼掃描。

Amazon Inspector 會使用自動推理和機器學習來評估您的 Lambda 函數應用程式程式碼,以分析您的應用程式程式碼以達到整體 它會根據與 Amazon CodeGuru 合作開發的內部偵測器,識別違反政策和漏洞。如需可能偵測的清單,請參閱偵測CodeGuru 器程式庫

如果 Amazon Inspector 在您的 Lambda 函數應用程式程式碼中偵測到漏洞,Amazon Inspector 會產生詳細的程式碼弱點類型發現 此發現項目類型包含問題在程式碼中的確切位置、顯示問題的程式碼片段,以及建議的補救措施。建議的補救措施包括可用來取 plug-and-play 代易受攻擊的程式碼行的程式碼區塊。除了該發現項目的一般程式碼修正指引之外,還提供這些建議的程式碼修正。

重要

程式碼修正建議是由自動推理和生成人工智慧服務提供支援,因此可能無法如預期般運作。您必須對所採用的程式碼修正建議負責。在採用之前,請務必檢閱程式碼修正建議。您可能需要編輯程式碼修正建議,以確保程式碼能如預期般執行。請參閱負責任的 AI 政策

在發現程式碼漏洞中加密您的程式碼

CodeGuru 服務會儲存與使用 Lambda 程式碼掃描發現的程式碼弱點相關的程式碼片段。依預設,會使用由 CodeGuru 控制的AWS 擁有金鑰來加密您的程式碼,不過,您可以使用自己的客戶受管金鑰透過 Amazon Inspector API 進行加密。如需詳細資訊,請參閱 針對發現項目中的程式碼進行靜態加密

Lambda 程式碼掃描可與 Lambda 標準掃描一起啟動。如需啟動掃瞄類型的指示,請參閱啟動掃瞄類型

從 Lambda 程式碼掃描排除函數

您可以標記某些函數,將它們排除在 Amazon Inspector Lambda 程式碼掃描之外。從掃描中排除功能有助於防止無法執行的警示。

若要從 Amazon Inspector 中排除 Lambda 函數,Lambda 程式碼會掃描使用下列索引鍵值組來標記函數:

  • 關鍵字:InspectorCodeExclusion

  • 值:LambdaCodeScanning

若要從 Lambda 程式碼掃描中排除函數

  1. 登入 Lambda 主控台,網址為 https://console.aws.amazon.com/lambda/

  2. 選取函數

  3. 從函數表格中,選取您要從 Amazon Inspector Lambda 程式碼掃描中排除的函數名稱。

  4. 選擇配置,然後從菜單中選擇標籤

  5. 選取管理標籤,然後選取新增標籤

  6. 在「機」欄位中輸入InspectorCodeExclusion,然後在「」欄位中輸入LambdaCodeScanning

  7. 選取儲存以新增標籤,並從 Amazon Inspector Lambda 程式碼掃描中排除您的函數。

如需在 Lambda 中新增標籤的詳細資訊,請參閱在 L ambda 函數上使用標籤