AWS Lambda Funciones de escaneo con Amazon Inspector - Amazon Inspector
Comportamientos de los análisis de funciones de LambdaTiempos de ejecución y funciones admitidosAnálisis estándar de LambdaAnálisis de código de Lambda

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Lambda Funciones de escaneo con Amazon Inspector

El soporte de Amazon Inspector para AWS Lambda funciones y capas proporciona evaluaciones automatizadas y continuas de las vulnerabilidades de seguridad. Amazon Inspector ofrece dos tipos de escaneo de funciones Lambda:

Análisis estándar de Lambda con Amazon Inspector

Se trata del tipo de análisis de Lambda predeterminado. El escaneo estándar Lambda analiza las dependencias de las aplicaciones dentro de una función y capas de Lambda en busca de vulnerabilidades en los paquetes.

Análisis de código de Lambda con Amazon Inspector

Este tipo de escaneo escanea el código de la aplicación personalizada en la función y las capas de Lambda en busca de vulnerabilidades en el código. Puede activar el escaneo estándar Lambda o activar el escaneo estándar Lambda con el escaneo de código Lambda.

Al activar el escaneo de funciones Lambda, Amazon Inspector crea los siguientes canales AWS CloudTrail vinculados a servicios en su cuenta: y. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gestiona estos canales y los utiliza para supervisar tus CloudTrail eventos y escanearlos. Estos canales le permiten ver CloudTrail los eventos de su cuenta como si tuviera una pista de acceso CloudTrail. Te recomendamos que crees tu propia ruta CloudTrail para gestionar los eventos de tu cuenta.

Para obtener información sobre cómo activar el escaneo de funciones Lambda, consulte Activación de un tipo de escaneo. En esta sección se proporciona información sobre el escaneo de funciones Lambda.

Comportamientos de los análisis de funciones de Lambda

Tras activarse, Amazon Inspector analiza todas las funciones de Lambda invocadas o actualizadas en los últimos 90 días en la cuenta. Amazon Inspector inicia análisis de funciones de Lambda en busca de vulnerabilidades en las siguientes situaciones:

  • En cuanto Amazon Inspector detecta una función de Lambda.

  • cuando implementa una nueva función de Lambda en el servicio de Lambda,

  • cuando implementa una actualización en el código de la aplicación o las dependencias de una función de Lambda o sus capas,

  • Siempre que Amazon Inspector añada un nuevo elemento de vulnerabilidades y exposiciones (CVE) comunes a su base de datos y que CVE sea relevante para su función.

Amazon Inspector supervisa todas las funciones de Lambda a lo largo de su vida útil hasta que se eliminan o se excluyen de los análisis.

Puede comprobar cuándo se comprobó por última vez una función de Lambda para detectar vulnerabilidades en la pestaña Funciones de Lambda de la página de administración de cuentas o mediante el. ListCoverageAPI Amazon Inspector actualiza el campo Fecha del último análisis de una función de Lambda en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una función de Lambda,

  • cuando se actualiza una función de Lambda,

  • Cuando Amazon Inspector vuelve a escanear una función de Lambda porque se ha añadido a la base de datos de Amazon Inspector un CVE nuevo elemento que afecta a esa función.

Tiempos de ejecución admitidos y funciones elegibles

Amazon Inspector admite distintos tiempos de ejecución para el análisis estándar y el análisis de código de Lambda. Para ver una lista de los tiempos de ejecución admitidos para cada tipo de análisis, consulte Tiempos de ejecución admitidos: análisis estándar de Lambda con Amazon Inspector y Tiempos de ejecución admitidos: análisis de código de Lambda con Amazon Inspector.

Además de contar con un tiempo de ejecución admitido, una función de Lambda necesita cumplir los siguientes criterios para que sea elegible para los análisis de Amazon Inspector.

  • La función se ha invocado o actualizado en los últimos 90 días.

  • La función está marcada con $LATEST.

  • La función no se ha excluido de los análisis con etiquetas.

nota

Las funciones de Lambda que no se hayan invocado o modificado en los últimos 90 días se excluyen automáticamente de los análisis. Amazon Inspector reanuda el análisis de una función excluida automáticamente si se invoca de nuevo o si se realizan cambios en el código de la función de Lambda.

Análisis estándar de Lambda con Amazon Inspector

El análisis estándar de Lambda con Amazon Inspector identifica las vulnerabilidades de software en las dependencias de los paquetes de la aplicación que añade a las capas y el código de una función de Lambda. Por ejemplo, si la función de Lambda utiliza una versión del paquete python-jwt que incluye una vulnerabilidad conocida, el análisis estándar de Lambda generará un resultado para esa función.

Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo Vulnerabilidad de paquetes.

Para ver las instrucciones de activación de un tipo de análisis, consulte Activación de un tipo de análisis.

nota

El escaneo estándar de Lambda no analiza la AWS SDK dependencia instalada de forma predeterminada en el entorno de ejecución de Lambda. Amazon Inspector solo explora las dependencias cargadas con el código de función o heredadas de una capa.

nota

Al desactivar el análisis estándar de Lambda con Amazon Inspector, también se desactiva el análisis de código de Lambda con Amazon Inspector.

Exclusión de funciones del análisis estándar de Lambda

Puede etiquetar determinadas funciones para excluirlas del análisis estándar de Lambda con Amazon Inspector. Excluir funciones de los análisis ayuda a evitar recibir alertas no procesables.

Para excluir una función de Lambda del análisis estándar de Lambda, etiquete la función con el siguiente par de clave y valor:

  • Clave: InspectorExclusion

  • Valor: LambdaStandardScanning

Exclusión de una función del análisis estándar de Lambda

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola Lambda en. https://console.aws.amazon.com/lambda/

  2. Seleccione Funciones.

  3. En la tabla de funciones, seleccione el nombre de una función que querría excluir del análisis estándar de Lambda con Amazon Inspector.

  4. Seleccione Configuración y elija Etiquetas en el menú.

  5. Seleccione Administrar etiquetas y, a continuación, Agregar nueva etiqueta.

  6. En el campo Clave, escriba InspectorExclusion y, en el campo Valor, escriba LambdaStandardScanning.

  7. Seleccione Guardar para agregar la etiqueta y excluir la función del análisis estándar de Lambda con Amazon Inspector.

Para obtener más información sobre cómo agregar etiquetas en Lambda, consulte Uso de etiquetas en funciones de Lambda.

Análisis de código de Lambda con Amazon Inspector

importante

Esta función también captura fragmentos de funciones de Lambda para resaltar las vulnerabilidades detectadas, y estos fragmentos pueden mostrar credenciales codificadas u otros materiales confidenciales en texto simple.

El escaneo de código Lambda escanea el código de aplicación personalizado en una función Lambda en busca de vulnerabilidades de código que se basan en las mejores prácticas de AWS seguridad y puede detectar lo siguiente:.

  • Defectos de inyección

  • Fugas de datos

  • Criptografía débil

  • Falta el cifrado en su código

Para obtener información sobre las regiones disponibles, consulteDisponibilidad de características específicas por región.

nota

Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda.

Amazon Inspector utiliza el razonamiento automatizado y el aprendizaje automático para evaluar el código de aplicación de la función Lambda y los detectores internos desarrollados en colaboración con Amazon CodeGuru para identificar las infracciones y vulnerabilidades de las políticas. Para obtener una lista de posibles detecciones, consulte la biblioteca de CodeGuru detectores.

Si Amazon Inspector detecta una vulnerabilidad en el código de la aplicación de la función Lambda, genera un tipo de búsqueda de vulnerabilidad de código. Este tipo de hallazgo incluye un fragmento de código que muestra el problema, especifica la ubicación del problema en el código y sugiere cómo solucionarlo. La sugerencia de corrección incluye bloques de plug-and-play código que puedes usar para reemplazar líneas de código vulnerables. Las correcciones de código sugeridas se proporcionan además de una guía general de corrección de código para este tipo de búsqueda.

Las sugerencias de corrección de código se basan en el razonamiento automatizado y los servicios de inteligencia artificial generativa, y es posible que no funcionen según lo previsto. Sin embargo, usted es responsable de las sugerencias de corrección de código que adopte. Revisa siempre las sugerencias de corrección del código antes de adoptarlas, ya que es posible que tengas que modificarlas para asegurarte de que el código funciona según lo previsto. Para obtener más información, consulta la Política de IA responsable.

Cifrado del código en los resultados de vulnerabilidades de código

CodeGuru almacena los fragmentos de código que se detecta que están relacionados con una vulnerabilidad de código detectada mediante el escaneo de código Lambda.

De forma predeterminada, CodeGuru controla la clave AWS propia que se utiliza para cifrar el código. Sin embargo, puedes usar tu propia clave gestionada por el cliente para el cifrado a través del Amazon InspectorAPI. Para obtener más información, consulte Cifrado de código en reposo en los resultados

El escaneo de código Lambda se puede activar con el escaneo estándar Lambda. Para ver las instrucciones de activación de un tipo de análisis, consulte Activación de un tipo de análisis.

Exclusión de funciones del análisis de código de Lambda

Para dejar de recibir alertas que no sean procesables, puede etiquetar las funciones de Lambda que desee excluir del escaneo de código de Lambda.

Cuando etiquete una función Lambda que desee excluir del escaneo de código Lambda, utilice el siguiente par clave-valor:

  • Clave: InspectorCodeExclusion

  • Valor: LambdaCodeScanning

El siguiente procedimiento describe cómo hacerlo con mayor detalle.

Exclusión de una función del análisis de código de Lambda

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola Lambda en. https://console.aws.amazon.com/lambda/

  2. Seleccione Funciones.

  3. En la tabla de funciones, seleccione el nombre de la función que desee excluir del escaneo de código Lambda de Amazon Inspector.

  4. Elija Configuration (Configuración) y, a continuación, elija Tags (Etiquetas).

  5. Elija la pestaña Administrar etiquetas y, a continuación, elija Agregar nueva etiqueta.

  6. En el campo Clave, introduzca InspectorCodeExclusion. En el campo Valor, introduzcaLambdaCodeScanning.

  7. Seleccione Guardar para añadir la etiqueta que excluye su función del escaneo de código Lambda.

Para obtener más información sobre la adición de etiquetas en Lambda, consulte Uso de etiquetas en funciones de Lambda en la Guía para desarrolladores.AWS Lambda