Amazon Inspector の自動スキャンタイプ

Amazon EC2 スキャンを有効にすると、Amazon Inspector は EC2 インスタンスに対して、一般的な脆弱性および露出（CVE）、ネットワーク到達可能性の問題、ネットワーク到達性の問題、オペレーティングシステムおよびプログラミング言語パッケージの脆弱性をスキャンします。Amazon Inspector は、インスタンスにインストールされている SSM Agent を使用するか、インスタンスの Amazon EBS スナップショットを通じてスキャンを実行します。詳細については、「Amazon Inspector による Amazon EC2 インスタンスのスキャン」を参照してください。デフォルトでは、Amazon EC2 スキャンをアクティブ化すると、ハイブリッドスキャンモードが自動的に有効になります。詳細については、「エージェントレススキャン」を参照してください。

Amazon ECR スキャンをアクティブ化すると、Amazon Inspector は、プライベートレジストリ内のすべてのレジストリを基本スキャンのコンテナリポジトリから拡張スキャンリポジトリに変換します。この設定は、オンプッシュ時のみスキャンするように、または特定のリポジトリをスキャンするように、包含ルールで設定できます。Amazon Inspector は、ECR でアクティブな (imageStatus フィールドが ACTIVE) ECR コンテナイメージのみをスキャンします。Amazon Inspector は、過去 30 日以内に ECR でアクティブ (lastActivatedAt) にプッシュまたは移行されたすべてのイメージ、または過去 90 日以内にプルされたイメージをスキャンします。Amazon Inspector はデフォルトで 90 日間イメージをモニタリングし続けます。この設定はいつでも変更できます。詳細については、「Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン」を参照してください。

Lambda 標準スキャンをアクティブ化すると、Amazon Inspector はアカウント内のすべての Lambda 関数を検出し、すぐに脆弱性をスキャンします。Amazon Inspector は、デプロイ時に新しい Lambda 関数とレイヤーをスキャンします。Amazon Inspector は、更新されたとき、または新しい CVE が公開されたときにそれらを再スキャンします。スキャンの詳細については、「Amazon Inspector を使用した AWS Lambda 関数のスキャン」を参照してください。

Lambda コードスキャンをアクティブ化すると、Amazon Inspector はアカウント内の Lambda 関数とレイヤーを検出し、コードの脆弱性をスキャンします。この種類のスキャンは、Lambda 関数で使用されるアプリケーションパッケージの依存関係に CVE が含まれていないか評価します。このスキャンタイプをアクティブ化すると、Lambda 標準スキャンもアクティブ化されます。詳細については、「Amazon Inspector を使用した AWS Lambda 関数のスキャン」を参照してください。

このスキャンタイプは、Amazon Q Developer のスキャンエンジンを活用して、ファーストパーティアプリケーションコード、サードパーティーアプリケーションの依存関係、Infrastructure as Code の脆弱性をスキャンします。詳細については、Amazon Inspector のコードセキュリティ」を参照してください。