Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types de recherche Amazon Inspector
Cette section décrit les différents types de recherche dans Amazon Inspector.
Vulnérabilité du package
Les résultats relatifs aux vulnérabilités des packages identifient les packages logiciels de votre AWS environnement qui sont exposés à des vulnérabilités et à des risques courants (CVEs). Les attaquants peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Le système CVE est une méthode de référence pour les vulnérabilités et les expositions de sécurité des informations connues du public. Pour plus d'informations, consultez https://www.cve.org/
Amazon Inspector peut générer des informations sur les vulnérabilités des packages pour les EC2 instances, les images de conteneurs ECR et les fonctions Lambda. Les résultats relatifs à la vulnérabilité des packages comportent des informations supplémentaires propres à ce type de découverte, à savoir le score de l'Inspector et les informations sur les vulnérabilités.
vulnérabilité du code
Les découvertes de vulnérabilités dans le code aident à identifier les lignes de code susceptibles d'être exploitées. Les vulnérabilités du code incluent un chiffrement manquant, des fuites de données, des failles d'injection et une cryptographie faible. Amazon Inspector détecte les vulnérabilités du code grâce à l'analyse des fonctions Lambda et à sa fonctionnalité Code Security.
Amazon Inspector évalue le code de l'application de la fonction Lambda à l'aide d'un raisonnement automatique et de l'apprentissage automatique afin d'analyser le code de l'application pour vérifier sa conformité globale en matière de sécurité. Il identifie les violations des politiques et les vulnérabilités sur la base de détecteurs internes développés en collaboration avec Amazon CodeGuru. Pour une liste des détections possibles, consultez la section Bibliothèque CodeGuru de détecteurs.
L'analyse du code capture des extraits de code pour mettre en évidence les vulnérabilités détectées. Par exemple, un extrait de code peut afficher des informations d'identification codées en dur ou d'autres informations sensibles en texte brut. CodeGuru stocke les extraits de code associés aux vulnérabilités du code. Par défaut, votre code est chiffré à l'aide d'une clé que vous AWS possédez. Toutefois, vous pouvez créer une clé gérée par le client pour chiffrer votre code si vous souhaitez mieux contrôler ces informations. Pour de plus amples informations, veuillez consulter Chiffrement inexistant pour le code contenu dans vos résultats.
Note
L'administrateur délégué d'une organisation ne peut pas consulter les extraits de code appartenant aux comptes des membres.
Accessibilité du réseau
Les résultats relatifs à l'accessibilité du réseau indiquent qu'il existe des chemins réseau ouverts vers les EC2 instances Amazon dans votre environnement. Ces résultats apparaissent lorsque vos ports TCP et UDP sont accessibles depuis les périphériques du VPC, comme une passerelle Internet (y compris les instances situées derrière des équilibreurs de charge d'application ou des équilibreurs de charge classiques), une connexion d'appairage VPC ou un VPN via une passerelle virtuelle. Ces résultats mettent en évidence des configurations réseau qui peuvent être trop permissives, telles que des groupes de sécurité mal gérés, des listes de contrôle d'accès ou des passerelles Internet, ou qui peuvent autoriser un accès potentiellement malveillant.
Amazon Inspector génère uniquement des résultats d'accessibilité au réseau pour les instances Amazon EC2 . Amazon Inspector analyse les données relatives à l'accessibilité du réseau toutes les 12 heures une fois Amazon Inspector activé.
Amazon Inspector évalue les configurations suivantes lors de la recherche de chemins réseau :
