Criar uma configuração de verificação - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma configuração de verificação

Antes de criar uma configuração de verificação, é necessário criar uma integração com o Amazon Inspector. Na primeira vez que cria uma integração, você é solicitado a criar uma configuração de verificação padrão. Este tópico descreve como criar uma configuração de verificação geral. A diferença entre uma configuração de verificação padrão e uma configuração de verificação geral é que a primeira é automaticamente anexada a novos projetos. Você pode pular a criação de uma configuração de verificação padrão.

O recurso Segurança de Código é compatível com até 500 configurações de verificação geral. A Segurança de Código permite apenas uma configuração de verificação padrão por conta e por organização. Uma configuração de verificação pode ser associada somente a até 100 mil projetos.

Um projeto pode ser associado a até 4 configurações de verificação no total. Isso inclui uma configuração de verificação padrão, caso ela tenha sido criada. As configurações de verificação de uma organização não podem ser marcadas com tags.

Se o administrador delegado de uma organização criar uma configuração de verificação, isso será feito no nível da organização e ela será aplicada a todas as contas de membros da organização. O mesmo ocorre se o administrador delegado criar uma configuração de verificação padrão.

Ao criar uma configuração de verificação, você escolhe a frequência de verificação, a análise da verificação e os repositórios que devem ser verificados. A frequência de verificação pode ser baseada em alterações e ser periódica ou personalizada. A verificação periódica e baseada em alterações oferece a opção de ativar a verificação periódica. Se você habilitar a verificação periódica, defina a frequência para o dia da semana ou mês em que a verificação deve ocorrer. A verificação personalizada oferece a opção de ativar a verificação quando o código é alterado, além da verificação periódica. Se ativar a verificação quando o código for alterado, você deverá especificar o acionador a ser incluído nas solicitações pull e de mesclagem.

As verificações podem ser ignoradas se o ID de confirmação não for alterado em determinado período. As verificações periódicas serão ignoradas se o ID de confirmação não for alterado entre as verificações em uma semana. As verificações sob demanda serão ignoradas se o ID de confirmação não for alterado entre as verificações em 24 horas.

nota

Se uma configuração de verificação tiver apenas acionadores para solicitações pull e de mesclagem, apenas as 25 principais descobertas críticas ou altas serão apresentadas e somente na plataforma de gerenciamento de código-fonte. Nenhuma delas ficará visível no Amazon Inspector.

Como criar uma configuração de verificação geral

  1. Faça login usando suas credenciais. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.

  2. No painel de navegação, escolha Segurança de Código.

  3. Selecione Configurações e Criar configuração de verificação.

  4. Em Detalhes da verificação, faça o seguinte:

    1. Em Nome da configuração, insira um nome para a configuração de verificação.

  5. Em Frequência de verificação, especifique com que frequência o código deve ser verificado escolhendo entre as opções de Verificação periódica com base em alterações ou Tipos de verificações personalizadas e acionadores.

    1. (Opção 1) Se você escolher Verificação periódica com base em alterações, selecione Habilitar verificação periódica ou Desabilitar verificação periódica.

      1. Se você escolher Habilitar verificação periódica, defina a frequência de verificação escolhendo a semana e o dia em que o código deve ser verificado.

    2. (Opção 2) Se você escolher Verificação personalizada, decida se deseja habilitar a verificação quando o código for alterado e a verificação periódica.

      1. Escolha Habilitar verificação quando o código for alterado ou Desabilitar verificação quando o código for alterado. Se você escolher Habilitar verificação quando o código for alterado, especifique quando as verificações devem ser acionadas no menu suspenso.

      2. Escolha Habilitar verificação periódica ou Desabilitar verificação periódica. Se você escolher Habilitar verificação periódica, defina a frequência de verificação escolhendo a semana e o dia em que o código deve ser verificado. Você também pode verificar acionadores baseados em eventos. Esses eventos incluem quando uma nova pull request é aberta inicialmente na ramificação padrão e quando uma confirmação é mesclada ou enviada para a ramificação padrão. As varreduras não são acionadas em atualizações ou revisões subsequentes de uma pull request existente. Para acionar uma nova verificação, feche e reabra a pull request.

  6. Em Análise da verificação, decida se deseja configurar uma análise de verificação completa ou uma análise de verificação personalizada:

    1. (Opção 1) Se você escolher Análise de verificação completa, você aplica todas as seguintes análises de verificação:

      • Teste estático de segurança de aplicações: analisa o código-fonte em busca de vulnerabilidades.

      • Verificação de IaC: analisa scripts e códigos que configuram e provisionam a infraestrutura.

      • Análise estática da composição de software: examina pacotes de código aberto em aplicações.

    2. (Opção 2) Se você optar por Análise de verificação personalizada, deverá escolher pelo menos um dos tipos de análise mencionados anteriormente no menu suspenso:

  7. (Opcional) Em Tags, crie um par de chave-valor para ser aplicado ao projeto. É possível criar até 50 tags.

  8. Escolha Próximo.

  9. Em Seleção do repositório, escolha Todos os repositórios ou Repositórios específicos.

    1. (Opção 1) Se você escolher Todos os repositórios, a verificação será habilitada para qualquer um dos seus repositórios existentes.

    2. (Opção 2) Se você escolher Repositórios específicos, a verificação será habilitada somente para os repositórios que você especificar.

  10. Escolha Próximo.

  11. Revise suas escolhas e selecione Criar configuração de verificação.

nota

As configurações gerais de verificação são aplicadas somente a todos os repositórios de código existentes. Elas não serão aplicadas a novos repositórios de código.