AWS Lambda Fonctions de numérisation avec Amazon Inspector - Amazon Inspector
Comportements de scan pour l'analyse des fonctions LambdaRuntimes et fonctions pris en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Lambda Fonctions de numérisation avec Amazon Inspector

Le support d'Amazon Inspector pour AWS Lambda les fonctions et les couches fournit des évaluations automatisées continues des vulnérabilités de sécurité. Amazon Inspector propose deux types de numérisation par fonction Lambda :

Numérisation standard Amazon Inspector Lambda

Ce type de scan est le type de scan Lambda par défaut. Il analyse les dépendances des applications dans les fonctions et les couches Lambda pour détecter les vulnérabilités des packages.

Numérisation du code Lambda d'Amazon Inspector

Ce type de scan analyse le code d'application personnalisé dans vos fonctions et couches Lambda pour détecter les vulnérabilités du code. Vous pouvez activer le scan standard Lambda ou le scan standard Lambda avec le scan de code Lambda.

Si vous souhaitez activer le scan de code Lambda, vous devez d'abord activer le scan standard Lambda. Pour plus d'informations, consultez la section Activation d'un type de scan.

Lorsque vous activez le scan des fonctions Lambda, Amazon Inspector crée les canaux liés aux services suivants dans votre compte : et. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gère ces canaux et les utilise pour surveiller les CloudTrail événements à des fins de numérisation. Les chaînes vous permettent de visualiser CloudTrail les événements de votre compte comme si vous y étiez connecté CloudTrail. Nous vous recommandons de créer votre propre trail in CloudTrail pour gérer les événements de votre compte. Pour plus d'informations sur la façon de visionner ces chaînes, consultez la section Affichage des chaînes liées à un service dans le Guide de l'AWS CloudTrail utilisateur.

Note

Amazon Inspector ne prend pas en charge l'analyse des fonctions Lambda chiffrées à l'aide de clés gérées par le client. Cela s'applique au scan standard Lambda et au scan du code Lambda.

Comportements de scan pour l'analyse des fonctions Lambda

Lors de l'activation, Amazon Inspector analyse toutes les fonctions Lambda invoquées ou mises à jour dans votre compte au cours des 90 derniers jours. Amazon Inspector lance des analyses de vulnérabilité des fonctions Lambda dans les situations suivantes :

  • Dès qu'Amazon Inspector découvre une fonction Lambda existante.

  • Lorsque vous déployez une nouvelle fonction Lambda sur le service Lambda.

  • Lorsque vous déployez une mise à jour du code d'application ou des dépendances d'une fonction Lambda existante ou de ses couches.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre fonction.

Amazon Inspector surveille chaque fonction Lambda pendant toute sa durée de vie jusqu'à ce qu'elle soit supprimée ou exclue de l'analyse.

Vous pouvez vérifier la date à laquelle une fonction Lambda a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Fonctions Lambda de la page de gestion du compte, ou en utilisant l'API. ListCoverage Amazon Inspector met à jour le champ Dernière analyse effectuée pour une fonction Lambda en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue une analyse initiale d'une fonction Lambda.

  • Lorsqu'une fonction Lambda est mise à jour.

  • Lorsqu'Amazon Inspector réanalyse une fonction Lambda parce qu'un nouvel élément CVE impactant cette fonction a été ajouté à la base de données Amazon Inspector.

Runtimes pris en charge et fonctions éligibles

Amazon Inspector prend en charge différents environnements d'exécution pour le scan standard Lambda et le scan du code Lambda. Pour obtenir la liste des environnements d'exécution pris en charge pour chaque type de scan, reportez-vous aux sections Runtimes pris en charge : analyse standard Amazon Inspector Lambda etRuntimes pris en charge : analyse du code Lambda par Amazon Inspector.

En plus de disposer d'un environnement d'exécution compatible, une fonction Lambda doit répondre aux critères suivants pour être éligible aux scans Amazon Inspector :

  • La fonction a été invoquée ou mise à jour au cours des 90 derniers jours.

  • La fonction est marquée$LATEST.

  • La fonction n'est pas exclue des scans par balises.

Note

Les fonctions Lambda qui n'ont pas été invoquées ou modifiées au cours des 90 derniers jours sont automatiquement exclues des scans. Amazon Inspector reprendra l'analyse d'une fonction automatiquement exclue si elle est à nouveau invoquée ou si des modifications sont apportées au code de fonction Lambda.