AWS Lambda Scanfunktionen mit Amazon Inspector - Amazon Inspector
Scanverhalten beim Scannen mit Lambda-FunktionenUnterstützte Laufzeiten und Funktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Lambda Scanfunktionen mit Amazon Inspector

Die Unterstützung von AWS Lambda Funktionen und Ebenen durch Amazon Inspector ermöglicht kontinuierliche automatisierte Bewertungen von Sicherheitslücken. Amazon Inspector bietet zwei Arten von Lambda-Funktionsscans:

Standard-Scanning mit Amazon Inspector Lambda

Dieser Scantyp ist der standardmäßige Lambda-Scantyp. Es scannt Anwendungsabhängigkeiten in Lambda-Funktionen und -Layern auf Paketschwachstellen.

Scannen von Lambda-Code mit Amazon Inspector

Dieser Scantyp scannt benutzerdefinierten Anwendungscode in Ihren Lambda-Funktionen und -Layern auf Code-Schwachstellen. Sie können das Lambda-Standardscannen oder das Lambda-Standardscannen mit Lambda-Code-Scan aktivieren.

Wenn Sie das Lambda-Code-Scannen aktivieren möchten, müssen Sie zuerst das Lambda-Standardscannen aktivieren. Weitere Informationen finden Sie unter Einen Scantyp aktivieren.

Wenn Sie den Lambda-Funktionsscan aktivieren, erstellt Amazon Inspector die folgenden serviceverknüpften Kanäle in Ihrem Konto: cloudtrail:CreateServiceLinkedChannel und. cloudtrail:DeleteServiceLinkedChannel Amazon Inspector verwaltet diese Kanäle und verwendet sie, um CloudTrail Ereignisse für Scans zu überwachen. Die Kanäle ermöglichen es Ihnen, CloudTrail Ereignisse in Ihrem Konto so zu verfolgen, als ob Sie eine Spur davon gehabt hätten CloudTrail. Wir empfehlen, deinen eigenen Trail zu erstellen CloudTrail , um Ereignisse in deinem Konto zu verwalten. Informationen zur Anzeige dieser Kanäle findest du im AWS CloudTrail Benutzerhandbuch unter Mit Diensten verknüpfte Kanäle anzeigen.

Anmerkung

Amazon Inspector unterstützt das Scannen von Lambda-Funktionen, die mit vom Kunden verwalteten Schlüsseln verschlüsselt sind, nicht. Dies gilt für Lambda-Standardscans und Lambda-Code-Scans.

Scanverhalten beim Scannen mit Lambda-Funktionen

Nach der Aktivierung scannt Amazon Inspector alle Lambda-Funktionen, die in den letzten 90 Tagen in Ihrem Konto aufgerufen oder aktualisiert wurden. Amazon Inspector initiiert Schwachstellenscans von Lambda-Funktionen in den folgenden Situationen:

  • Sobald Amazon Inspector eine bestehende Lambda-Funktion entdeckt.

  • Wenn Sie eine neue Lambda-Funktion für den Lambda-Service bereitstellen.

  • Wenn Sie ein Update für den Anwendungscode oder die Abhängigkeiten einer vorhandenen Lambda-Funktion oder ihrer Layer bereitstellen.

  • Immer wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für Ihre Funktion relevant ist.

Amazon Inspector überwacht jede Lambda-Funktion während ihrer gesamten Lebensdauer, bis sie entweder gelöscht oder vom Scannen ausgeschlossen wird.

Sie können im Tab Lambda-Funktionen auf der Kontoverwaltungsseite oder mithilfe der API überprüfen, wann eine Lambda-Funktion zuletzt auf Sicherheitslücken überprüft wurde. ListCoverage Amazon Inspector aktualisiert das Feld Zuletzt gescannt am für eine Lambda-Funktion als Reaktion auf die folgenden Ereignisse:

  • Wenn Amazon Inspector einen ersten Scan einer Lambda-Funktion abschließt.

  • Wenn eine Lambda-Funktion aktualisiert wird.

  • Wenn Amazon Inspector eine Lambda-Funktion erneut scannt, weil ein neues CVE-Element, das sich auf diese Funktion auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Unterstützte Laufzeiten und geeignete Funktionen

Amazon Inspector unterstützt unterschiedliche Laufzeiten für Lambda-Standardscans und Lambda-Code-Scans. Eine Liste der unterstützten Laufzeiten für jeden Scan-Typ finden Sie unter und. Unterstützte Laufzeiten: Amazon Inspector Lambda Standard-Scanning Unterstützte Laufzeiten: Amazon Inspector Lambda-Code-Scanning

Zusätzlich zu einer unterstützten Laufzeit muss eine Lambda-Funktion die folgenden Kriterien erfüllen, um für Amazon Inspector-Scans in Frage zu kommen:

  • Die Funktion wurde in den letzten 90 Tagen aufgerufen oder aktualisiert.

  • Die Funktion ist markiert$LATEST.

  • Die Funktion ist nicht von Scans nach Tags ausgeschlossen.

Anmerkung

Lambda-Funktionen, die in den letzten 90 Tagen nicht aufgerufen oder geändert wurden, werden automatisch von Scans ausgeschlossen. Amazon Inspector setzt das Scannen einer automatisch ausgeschlossenen Funktion fort, wenn sie erneut aufgerufen wird oder wenn Änderungen am Lambda-Funktionscode vorgenommen werden.