Evite guardar el estado que depende de la exclusividad durante la inicialización.Utilice CSPRNG.Herramienta de análisis

Control de la exclusividad con Lambda SnapStart

Cuando las invocaciones escalar verticalmente en una función de SnapStart, Lambda utiliza una instantánea exclusiva inicializada para reanudar varios entornos de ejecución. Si el código de inicialización genera contenido único que se incluye en la instantánea, es posible que el contenido no lo sea cuando se reutilice en los entornos de ejecución. Para mantener la exclusividad al utilizar SnapStart, debe generar contenido único después de la inicialización. Esto incluye ID y secretos únicos y entropía que se utiliza para generar pseudoaleatoriedad.

Sugerimos las siguientes prácticas recomendadas para ayudarlo a mantener la exclusividad en su código: Lambda también proporciona una herramienta de escaneo SnapStart de código abierto para ayudar a comprobar si el código asume que es exclusivo. Si genera datos exclusivos durante la fase de inicialización, puede utilizar un enlace de tiempo de ejecución para restaurar la exclusividad. Con los enlaces de tiempo de ejecución, puede ejecutar un código específico inmediatamente antes de que Lambda tome una instantánea o inmediatamente después de que Lambda reanude una función a partir de una instantánea.

Evite guardar el estado que depende de la exclusividad durante la inicialización.

Durante la fase de inicialización de la función, evite almacenar en caché datos destinados a ser exclusivos, por ejemplo, generar un ID exclusivo para el registro. En su lugar, le recomendamos que genere datos exclusivos dentro del controlador de funciones o que utilice un enlace de tiempo de ejecución.

ejemplo — Generar un ID exclusivo en el controlador de funciones

En el ejemplo siguiente se muestra cómo generar un UUID en el controlador de funciones.


import java.util.UUID;
  public class Handler implements RequestHandler<String, String> {
    private static UUID uniqueSandboxId = null;
    @Override
    public String handleRequest(String event, Context context) {
      if (uniqueSandboxId == null)
        uniqueSandboxId = UUID.randomUUID();
      System.out.println("Unique Sandbox Id: " + uniqueSandboxId);
      return "Hello, World!";
    }
  }

Utilice generadores de números pseudoaleatorios criptográficamente seguros (CSPRNG)

Si su aplicación depende de la aleatoriedad, le recomendamos que utilice generadores de números pseudoaleatorios criptográficamente seguros. El tiempo de ejecución gestionado por Lambda para Java incluye dos CSPRNG integrados (OpenSSL 1.0.2 y java.security.SecureRandom) que mantienen automáticamente la aleatoriedad con SnapStart. Software que siempre obtiene números aleatorios de /dev/random o /dev/urandom también mantiene la aleatoriedad con SnapStart.

Las bibliotecas de criptografía de AWS mantienen automáticamente la aleatoriedad con SnapStart a partir de las versiones mínimas especificadas en la siguiente tabla. Si utiliza estas bibliotecas con las funciones de Lambda, asegúrese de usar las siguientes versiones mínimas o posteriores:

Library	Versión mínima compatible (x86)	Versión mínima compatible (ARM)
AWS libcrypto (AWS-LC)	1.16.0	1.30.0
AWS libcrypto FIPS	2.0.13	2.0.13

Si empaqueta las bibliotecas criptográficas anteriores con sus funciones de Lambda como dependencias transitivas a través de las siguientes bibliotecas, asegúrese de utilizar las siguientes versiones mínimas o posteriores:

Library	Versión mínima compatible (x86)	Versión mínima compatible (ARM)
AWS SDK for Java 2.x	2.23.20	2.26.12
AWS Common Runtime for Java	0.29.8	0.29.25
Amazon Corretto Crypto Provider	2.4.1	2.4.1
Amazon Corretto Crypto Provider, FIPS	2.4.1	2.4.1

ejemplo — java.security.Secure Random

En el siguiente ejemplo se utiliza java.security.SecureRandom, que genera secuencias numéricas exclusivas incluso cuando la función se restaura a partir de una instantánea.


import java.security.SecureRandom;
  public class Handler implements RequestHandler<String, String> {
    private static SecureRandom rng = new SecureRandom();
    @Override
    public String handleRequest(String event, Context context) {
      for (int i = 0; i < 10; i++) {
        System.out.println(rng.next());
      }
      return "Hello, World!";
    }
  }

Herramienta de análisis de SnapStart

Lambda proporciona una herramienta de escaneo para ayudar a comprobar si el código asume que es exclusivo. La herramienta de escaneo SnapStart es un complemento de SpotBugs de código abierto que ejecuta un análisis estático en función de un conjunto de reglas. La herramienta de escaneo ayuda a identificar posibles implementaciones de código que podrían romper las suposiciones con respecto a la exclusividad. Para obtener instrucciones de instalación y una lista de las comprobaciones que realiza la herramienta de escaneo, consulte el repositorio aws-lambda-snapstart-java-rules en GitHub.

Para obtener más información sobre cómo gestionar la exclusividad con SnapStart, consulte Inicio más rápido con AWS Lambda SnapStart en el blog de computación de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Activando SnapStart

Enlaces de tiempo de ejecución