Amazon Inspector の自動スキャンタイプ

Amazon EC2 スキャンを有効にすると、Amazon Inspector は EC2 インスタンスをスキャンして、一般的な脆弱性と露出 (CVEs)、ネットワーク露出の問題、ネットワーク到達可能性の問題、オペレーティングシステムとプログラミング言語パッケージの脆弱性を検出します。Amazon Inspector は、インスタンスにインストールされている SSM Agent を使用するか、インスタンスの Amazon EBS スナップショットを通じてスキャンを実行します。詳細については、「Amazon Inspector による Amazon EC2 インスタンスのスキャン」を参照してください。デフォルトでは、Amazon EC2 スキャンをアクティブ化すると、ハイブリッドスキャンモードが自動的に有効になります。詳細については、「エージェントレススキャン」を参照してください。

Amazon ECR スキャンを有効にすると、Amazon Inspector はプライベートレジストリ内のすべてのリポジトリを基本的なスキャンコンテナリポジトリから拡張スキャンリポジトリに変換します。この設定を包含ルールで設定して、オンプッシュのみをスキャンしたり、選択したリポジトリをスキャンしたりできます。Amazon Inspector は、過去 30 日以内にプッシュされた、または過去 90 日以内にプルされたすべてのイメージをスキャンします。Amazon Inspector はデフォルトで 90 日間イメージをモニタリングし続けます。この設定はいつでも変更できます。詳細については、「Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン」を参照してください。

Lambda 標準スキャンをアクティブ化すると、Amazon Inspector はアカウント内のすべての Lambda 関数を検出し、脆弱性を直ちにスキャンします。Amazon Inspector は、デプロイ時に新しい Lambda 関数とレイヤーをスキャンします。Amazon Inspector は、更新時または新しい CVEsが公開されたときに再スキャンします。スキャンの詳細については、「」を参照してくださいAmazon Inspector を使用した AWS Lambda 関数のスキャン。

Lambda コードスキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数とレイヤーを検出し、コードの脆弱性をスキャンします。このタイプのスキャンでは、CVEs の Lambda 関数で使用されるアプリケーションパッケージの依存関係を評価します。このスキャンタイプをアクティブ化すると、Lambda 標準スキャンもアクティブ化されます。詳細については、「Amazon Inspector を使用した AWS Lambda 関数のスキャン」を参照してください。

このスキャンタイプは、Amazon Q Developer スキャンエンジンを活用して、ファーストパーティアプリケーションコード、サードパーティーアプリケーションの依存関係、Infrastructure as Code の脆弱性をスキャンします。詳細については、Amazon Inspector のコードセキュリティ」を参照してください。