Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di ricerca di Amazon Inspector
Questa sezione descrive i diversi tipi di ricerca in Amazon Inspector.
Vulnerabilità del pacchetto
I risultati delle vulnerabilità dei pacchetti identificano i pacchetti software presenti AWS nell'ambiente che sono esposti a vulnerabilità ed esposizioni comuni (). CVEs Gli aggressori possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Il sistema CVE è un metodo di riferimento per vulnerabilità ed esposizioni alla sicurezza delle informazioni note pubblicamente. Per ulteriori informazioni, vedere https://www.cve.org/.
Amazon Inspector può generare rilevamenti di vulnerabilità dei pacchetti per EC2 istanze, immagini di contenitori ECR e funzioni Lambda. I risultati delle vulnerabilità dei pacchetti contengono dettagli aggiuntivi esclusivi per questo tipo di risultati, ovvero il punteggio Inspector e l'intelligence sulle vulnerabilità.
Vulnerabilità del codice
I risultati delle vulnerabilità del codice aiutano a identificare le righe di codice che possono essere sfruttate. Le vulnerabilità del codice includono crittografia mancante, fughe di dati, difetti di iniezione e crittografia debole. Amazon Inspector genera risultati di vulnerabilità del codice tramite la scansione della funzione Lambda e la funzionalità Code Security.
Amazon Inspector valuta il codice applicativo della funzione Lambda utilizzando il ragionamento automatico e l'apprendimento automatico per analizzare il codice dell'applicazione per la conformità generale alla sicurezza. Identifica le violazioni delle politiche e le vulnerabilità sulla base di rilevatori interni sviluppati in collaborazione con Amazon. CodeGuru Per un elenco dei possibili rilevamenti, consulta Detector Library. CodeGuru
La scansione del codice acquisisce frammenti di codice per evidenziare le vulnerabilità rilevate. Ad esempio, un frammento di codice potrebbe mostrare credenziali codificate o altri materiali sensibili in testo non crittografato. CodeGuru memorizza frammenti di codice associati a vulnerabilità del codice. Per impostazione predefinita, il codice è crittografato con una AWS chiave proprietaria. Tuttavia, puoi creare una chiave gestita dal cliente per crittografare il codice se desideri un maggiore controllo su queste informazioni. Per ulteriori informazioni, consulta Crittografia inattiva per il codice contenuto nei tuoi risultati.
Nota
L'amministratore delegato di un'organizzazione non può visualizzare frammenti di codice che appartengono agli account dei membri.
Raggiungibilità della rete
I risultati sulla raggiungibilità della rete indicano che nel tuo ambiente esistono percorsi di rete aperti verso EC2 le istanze Amazon. Questi risultati appaiono quando le porte TCP e UDP sono raggiungibili dai bordi del VPC, come un gateway Internet (incluse le istanze di Application Load Balancer o Classic Load Balancer), una connessione peering VPC o una VPN tramite un gateway virtuale. Questi risultati evidenziano configurazioni di rete che potrebbero essere eccessivamente permissive, come gruppi di sicurezza mal gestiti, elenchi di controllo degli accessi o gateway Internet, o che potrebbero consentire accessi potenzialmente dannosi.
Amazon Inspector genera solo risultati sulla raggiungibilità della rete per le istanze Amazon. EC2 Amazon Inspector esegue scansioni per rilevare la raggiungibilità della rete ogni 12 ore una volta abilitato Amazon Inspector.
Amazon Inspector valuta le seguenti configurazioni durante la scansione dei percorsi di rete:
