AWS Lambda Funções de digitalização com o Amazon Inspector - Amazon Inspector
Comportamentos de verificação para escaneamento de funções do LambdaFunções e runtime com suporte

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Lambda Funções de digitalização com o Amazon Inspector

O suporte do Amazon Inspector para AWS Lambda funções e camadas fornece avaliações contínuas e automatizadas de vulnerabilidades de segurança. O Amazon Inspector oferece dois tipos de verificação para funções do Lambda:

Escaneamento padrão do Lambda do Amazon Inspector

Esse é o tipo padrão de escaneamento do Lambda. A verificação padrão do Lambda analisa as dependências da aplicação em uma função do Lambda e nas camadas em busca de vulnerabilidades em pacotes.

Escaneamento de código do Lambda do Amazon Inspector

Esse tipo de verificação analisa o código da aplicação personalizada na função do Lambda e nas camadas em busca de vulnerabilidades de código. Você pode ativar apenas a verificação padrão do Lambda ou ativar a verificação padrão do Lambda com a verificação de código do Lambda.

Ao ativar a verificação de funções do Lambda, o Amazon Inspector cria os seguintes canais vinculados ao serviço do AWS CloudTrail na conta: cloudtrail:CreateServiceLinkedChannel e cloudtrail:DeleteServiceLinkedChannel. O Amazon Inspector gerencia esses canais e os usa para monitorar seus CloudTrail eventos em busca de escaneamentos. Esses canais permitem que você veja CloudTrail os eventos em sua conta como se tivesse entrado CloudTrail. Recomendamos que você crie sua própria trilha CloudTrail para gerenciar eventos em sua conta.

Para ter informações sobre como ativar a verificação de funções do Lambda, consulte Activating a scan type. Esta seção fornece informações sobre a verificação da função do Lambda.

Comportamentos de verificação para escaneamento de funções do Lambda

Após a ativação, o Amazon Inspector verifica todas as funções do Lambda invocadas ou atualizadas nos últimos 90 dias em sua conta. O Amazon Inspector inicia verificações de vulnerabilidade das funções do Lambda nas seguintes situações:

  • Assim que o Amazon Inspector descobre uma função do Lambda existente.

  • Ao implantar uma nova função do Lambda no serviço do Lambda.

  • Ao implantar uma atualização no código do aplicativo ou nas dependências de uma função do Lambda existente ou de suas camadas.

  • Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para sua função.

O Amazon Inspector monitora cada função do Lambda ao longo de sua vida útil até que ela seja apagada ou excluída da verificação.

Na guia Funções do Lambda na página Gerenciamento de contas ou usando a API ListCoverage, você pode verificar quando uma função do Lambda foi verificada pela última vez em busca de vulnerabilidades. O Amazon Inspector atualiza o campo Última verificação em para uma função do Lambda em resposta aos seguintes eventos:

  • Quando o Amazon Inspector conclui uma verificação inicial de uma função do Lambda.

  • Quando uma função do Lambda é atualizada.

  • Quando o Amazon Inspector verifica novamente uma função do Lambda porque um novo item de CVE que afeta essa função foi adicionado ao banco de dados do Amazon Inspector.

Runtime com suporte e funções elegíveis

O Amazon Inspector suporta diferentes runtime para escaneamento padrão do Lambda e escaneamento de código do Lambda. Para obter uma lista dos tempos de execução com suporte para cada tipo de escaneamento, consulte Runtime com suporte: ao escaneamento padrão do Lambda do Amazon Inspector e Runtime com suporte: ao escaneamento de código do Lambda do Amazon Inspector.

Além de ter um runtime com suporte, uma função do Lambda precisa atender aos seguintes critérios para ser elegível para as verificações do Amazon Inspector:

  • A função foi invocada ou atualizada nos últimos 90 dias.

  • A função está marcada $LATEST.

  • A função não é excluída das verificações por tags.

nota

As funções do Lambda que não foram invocadas ou modificadas nos últimos 90 dias são automaticamente excluídas das verificações. O Amazon Inspector retomará a verificação de uma função excluída automaticamente se ela for invocada novamente ou se forem feitas alterações no código da função do Lambda.