AWS Lambda Funciones de escaneo con Amazon Inspector - Amazon Inspector
Comportamientos de los análisis de funciones de LambdaTiempos de ejecución y funciones admitidos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Lambda Funciones de escaneo con Amazon Inspector

El soporte de Amazon Inspector para AWS Lambda funciones y capas proporciona evaluaciones automatizadas y continuas de las vulnerabilidades de seguridad. Amazon Inspector ofrece dos tipos de análisis de función de Lambda:

Análisis estándar de Lambda con Amazon Inspector

Se trata del tipo de análisis de Lambda predeterminado. El análisis estándar de Lambda examina las dependencias de aplicaciones en una función y capas de Lambda en busca de vulnerabilidades de paquetes.

Análisis de código de Lambda con Amazon Inspector

Este tipo de análisis examina el código personalizado de la aplicación en la función y las capas de Lambda para vulnerabilidades de código. Puede activar el análisis estándar de Lambda o activar el análisis estándar de Lambda con el análisis de código de Lambda.

Al activar el análisis de función de Lambda, Amazon Inspector crea los siguientes canales vinculados a servicios de AWS CloudTrail en la cuenta: cloudtrail:CreateServiceLinkedChannel y cloudtrail:DeleteServiceLinkedChannel. Amazon Inspector gestiona estos canales y los utiliza para supervisar tus CloudTrail eventos y escanearlos. Estos canales le permiten ver CloudTrail los eventos de su cuenta como si tuviera una pista de acceso CloudTrail. Te recomendamos que crees tu propia ruta CloudTrail para gestionar los eventos de tu cuenta.

Para obtener información sobre cómo activar el análisis de función de Lambda, consulte Activación de un tipo de análisis. En esta sección se proporciona información sobre el análisis de función de Lambda.

Comportamientos de los análisis de funciones de Lambda

Tras activarse, Amazon Inspector analiza todas las funciones de Lambda invocadas o actualizadas en los últimos 90 días en la cuenta. Amazon Inspector inicia análisis de funciones de Lambda en busca de vulnerabilidades en las siguientes situaciones:

  • En cuanto Amazon Inspector detecta una función de Lambda.

  • cuando implementa una nueva función de Lambda en el servicio de Lambda,

  • cuando implementa una actualización en el código de la aplicación o las dependencias de una función de Lambda o sus capas,

  • siempre que Amazon Inspector añade un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y ese elemento de CVE es relevante para la función.

Amazon Inspector supervisa todas las funciones de Lambda a lo largo de su vida útil hasta que se eliminan o se excluyen de los análisis.

Puede comprobar la última vez en la que se revisó una función de Lambda en busca de vulnerabilidades desde la pestaña Funciones de Lambda de la página Administración de cuentas o con la API ListCoverage. Amazon Inspector actualiza el campo Fecha del último análisis de una función de Lambda en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una función de Lambda,

  • cuando se actualiza una función de Lambda,

  • cuando Amazon Inspector vuelve a analizar una función de Lambda porque se ha añadido a la base de datos de Amazon Inspector un nuevo elemento de CVE que afecta a la función.

Tiempos de ejecución admitidos y funciones elegibles

Amazon Inspector admite distintos tiempos de ejecución para el análisis estándar y el análisis de código de Lambda. Para ver una lista de los tiempos de ejecución admitidos para cada tipo de análisis, consulte Tiempos de ejecución admitidos: análisis estándar de Lambda con Amazon Inspector y Tiempos de ejecución admitidos: análisis de código de Lambda con Amazon Inspector.

Además de contar con un tiempo de ejecución admitido, una función de Lambda necesita cumplir los siguientes criterios para que sea elegible para los análisis de Amazon Inspector.

  • La función se ha invocado o actualizado en los últimos 90 días.

  • La función está marcada con $LATEST.

  • La función no se ha excluido de los análisis con etiquetas.

nota

Las funciones de Lambda que no se hayan invocado o modificado en los últimos 90 días se excluyen automáticamente de los análisis. Amazon Inspector reanuda el análisis de una función excluida automáticamente si se invoca de nuevo o si se realizan cambios en el código de la función de Lambda.