AWS Lambda Fonctions de numérisation avec Amazon Inspector - Amazon Inspector
Comportements de scan pour l'analyse des fonctions LambdaRuntimes et fonctions pris en chargeNumérisation standard LambdaAnalyse du code Lambda

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Lambda Fonctions de numérisation avec Amazon Inspector

Le support des AWS Lambda fonctions d'Amazon Inspector fournit des évaluations continues et automatisées des vulnérabilités de sécurité pour les fonctions et les couches Lambda. Amazon Inspector propose deux types de numérisation pour Lambda. Ces types de scan recherchent différents types de vulnérabilités.

Numérisation standard Amazon Inspector Lambda

Il s'agit du type de scan Lambda par défaut. L'analyse standard Lambda analyse les dépendances des applications au sein d'une fonction Lambda et de ses couches pour détecter les vulnérabilités des packages. Pour de plus amples informations, veuillez consulter Numérisation standard Lambda.

Numérisation du code Lambda d'Amazon Inspector

Ce type de scan analyse le code d'application personnalisé dans vos fonctions et couches pour détecter les vulnérabilités du code. Vous pouvez activer l’analyse standard Lambda ou activer l’analyse standard Lambda conjointement avec l’analyse du code Lambda. Pour de plus amples informations, veuillez consulter Numérisation du code Lambda d'Amazon Inspector.

Lorsque vous activez le scan Lambda, Amazon Inspector crée les canaux AWS CloudTrail liés aux services suivants dans votre compte :

  • cloudtrail:CreateServiceLinkedChannel

  • cloudtrail:DeleteServiceLinkedChannel

Amazon Inspector gère ces canaux et les utilise pour surveiller vos CloudTrail événements à des fins d'analyse. Pour plus d'informations sur les canaux liés à un service, voir Affichage des canaux liés à un service à CloudTrail l'aide de la CLI. AWS

Note

Les canaux liés aux services créés par Amazon Inspector vous permettent de voir les CloudTrail événements de votre compte comme si vous en aviez une CloudTrail trace. Toutefois, nous vous recommandons de créer les vôtres CloudTrail pour gérer les événements de votre compte.

Pour obtenir des instructions sur l'activation des scans fonctionnels Lambda, voir. Activation d'un type de scan

Comportements de scan pour l'analyse des fonctions Lambda

Lors de l'activation, Amazon Inspector analyse toutes les fonctions Lambda invoquées ou mises à jour dans votre compte au cours des 90 derniers jours. Amazon Inspector lance des analyses de vulnérabilité des fonctions Lambda dans les situations suivantes :

  • Dès qu'Amazon Inspector découvre une fonction Lambda existante.

  • Lorsque vous déployez une nouvelle fonction Lambda sur le service Lambda.

  • Lorsque vous déployez une mise à jour du code d'application ou des dépendances d'une fonction Lambda existante ou de ses couches.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre fonction.

Amazon Inspector surveille chaque fonction Lambda pendant toute sa durée de vie jusqu'à ce qu'elle soit supprimée ou exclue de l'analyse.

Vous pouvez vérifier la date à laquelle une fonction Lambda a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Fonctions Lambda de la page de gestion du compte, ou en utilisant l'API. ListCoverage Amazon Inspector met à jour le champ Dernière analyse effectuée pour une fonction Lambda en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue une analyse initiale d'une fonction Lambda.

  • Lorsqu'une fonction Lambda est mise à jour.

  • Lorsqu'Amazon Inspector réanalyse une fonction Lambda parce qu'un nouvel élément CVE impactant cette fonction a été ajouté à la base de données Amazon Inspector.

Runtimes pris en charge et fonctions éligibles

Amazon Inspector prend en charge différents environnements d'exécution pour le scan standard Lambda et le scan du code Lambda. Pour obtenir la liste des environnements d'exécution pris en charge pour chaque type de scan, reportez-vous aux sections Runtimes pris en charge : analyse standard Amazon Inspector Lambda etRuntimes pris en charge : analyse du code Lambda par Amazon Inspector.

En plus de disposer d'un environnement d'exécution compatible, une fonction Lambda doit répondre aux critères suivants pour être éligible aux scans Amazon Inspector :

  • La fonction a été invoquée ou mise à jour au cours des 90 derniers jours.

  • La fonction est marquée$LATEST.

  • La fonction n'est pas exclue des scans par balises.

Note

Les fonctions Lambda qui n'ont pas été invoquées ou modifiées au cours des 90 derniers jours sont automatiquement exclues des scans. Amazon Inspector reprendra l'analyse d'une fonction automatiquement exclue si elle est à nouveau invoquée ou si des modifications sont apportées au code de fonction Lambda.

Numérisation standard Amazon Inspector Lambda

Le scan standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de fonction Lambda et à vos couches. Par exemple, si votre fonction Lambda utilise une version du python-jwt package présentant une vulnérabilité connue, l'analyse standard Lambda générera un résultat pour cette fonction.

Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche détaillée du type de vulnérabilité du package.

Pour obtenir des instructions sur l'activation d'un type de scan, voirActivation d'un type de scan.

Note

Le scan standard Lambda n'analyse pas la dépendance du AWS SDK installée par défaut dans l'environnement d'exécution Lambda. Amazon Inspector analyse uniquement les dépendances chargées avec le code de fonction ou héritées d'une couche.

Note

La désactivation du scan standard Amazon Inspector Lambda désactivera également le scan du code Lambda d'Amazon Inspector.

Exclusion de fonctions du scan standard Lambda

Vous pouvez étiqueter certaines fonctions pour les exclure des scans standard Amazon Inspector Lambda. L'exclusion de fonctions des scans peut aider à éviter les alertes inexploitables.

Pour exclure une fonction Lambda du scan standard Lambda, balisez la fonction avec la paire clé-valeur suivante :

  • Clé : InspectorExclusion

  • Valeur : LambdaStandardScanning

Pour exclure une fonction du scan standard Lambda

  1. Ouvrez la console Lambda à l'adresse https://console.aws.amazon.com/lambda/.

  2. Sélectionnez Fonctions.

  3. Dans le tableau des fonctions, sélectionnez le nom de la fonction que vous souhaitez exclure du scan standard Amazon Inspector Lambda.

  4. Sélectionnez Configuration, puis choisissez Tags dans le menu.

  5. Sélectionnez Gérer les balises, puis Ajouter une nouvelle balise.

  6. Dans le champ CléInspectorExclusion, entrez, puis dans le champ Valeur, entrezLambdaStandardScanning.

  7. Sélectionnez Enregistrer pour ajouter le tag et exclure votre fonction du scan standard Amazon Inspector Lambda.

Pour plus d'informations sur l'ajout de balises dans Lambda, consultez la section Utilisation de balises dans les fonctions Lambda.

Numérisation du code Lambda d'Amazon Inspector

Important

L'analyse de code capture des extraits de code issus des fonctions Lambda afin de mettre en évidence les vulnérabilités détectées. Ces extraits peuvent afficher des informations d'identification codées en dur ou d'autres informations sensibles en texte clair.

Le scan du code Lambda par Amazon Inspector analyse le code d'application personnalisé au sein d'une fonction Lambda pour détecter les vulnérabilités du code, conformément aux meilleures pratiques de sécurité. AWS L'analyse du code Lambda permet de détecter des défauts d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code. Pour plus d'informations sur les régions disponibles, consultezDisponibilité des fonctionnalités propres à la région.

L'analyse standard Lambda est une fonctionnalité qui évalue les dépendances des packages d'applications utilisés dans une fonction pour détecter les vulnérabilités et les expositions courantes (CVE). Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda.

Amazon Inspector évalue le code de votre application de fonction Lambda à l'aide d'un raisonnement automatique et d'un apprentissage automatique qui analyse le code de votre application pour vérifier sa conformité globale en matière de sécurité. Il identifie les violations des politiques et les vulnérabilités sur la base de détecteurs internes développés en collaboration avec Amazon CodeGuru. Pour obtenir la liste des détections possibles, consultez la bibliothèque de CodeGuru détecteurs.

Si Amazon Inspector détecte une vulnérabilité dans le code d'application de votre fonction Lambda, Amazon Inspector produit une recherche détaillée du type de vulnérabilité dans le code. Ce type de recherche inclut l'emplacement exact du problème dans le code, un extrait de code illustrant le problème et les solutions suggérées. La correction suggérée inclut des blocs de plug-and-play code que vous pouvez utiliser pour remplacer vos lignes de code vulnérables. Ces corrections de code suggérées sont fournies en plus des conseils généraux de correction du code pour cette constatation.

Important

Les suggestions de correction du code sont basées sur un raisonnement automatisé et des services d'intelligence artificielle générative, et peuvent donc ne pas fonctionner comme prévu. Vous êtes responsable des suggestions de correction du code que vous adoptez. Passez toujours en revue les suggestions de correction du code avant de les adopter. Vous devrez peut-être apporter des modifications aux suggestions de correction du code pour vous assurer que celui-ci fonctionne comme prévu. Veuillez consulter la politique en matière d'IA responsable.

Chiffrer votre code lors de la découverte d'une vulnérabilité

Les extraits de code détectés dans le cadre d'une détection de vulnérabilité au code à l'aide de l'analyse de code Lambda sont stockés par le service. CodeGuru Par défaut, une cléAWS détenue contrôlée par CodeGuru est utilisée pour chiffrer votre code, mais vous pouvez utiliser votre propre clé gérée par le client pour le chiffrement via l'API Amazon Inspector. Pour plus d'informations, consultez Chiffrement inexistant pour le code contenu dans vos résultats.

Le scan de code Lambda peut être activé conjointement avec le scan standard Lambda. Pour obtenir des instructions sur l'activation d'un type de scan, voirActivation d'un type de scan.

Exclusion de fonctions du scan de code Lambda

Vous pouvez baliser certaines fonctions pour les exclure des scans de code Lambda d'Amazon Inspector. L'exclusion de fonctions des scans peut aider à éviter les alertes inexploitables.

Pour exclure une fonction Lambda d'Amazon Inspector, les scans de code Lambda balisent la fonction avec la paire clé-valeur suivante :

  • Clé : InspectorCodeExclusion

  • Valeur : LambdaCodeScanning

Pour exclure une fonction de l'analyse du code Lambda

  1. Connectez-vous à la console Lambda à l'adresse https://console.aws.amazon.com/lambda/.

  2. Sélectionnez Fonctions.

  3. Dans le tableau des fonctions, sélectionnez le nom de la fonction que vous souhaitez exclure du scan du code Lambda par Amazon Inspector.

  4. Sélectionnez Configuration, puis choisissez Tags dans le menu.

  5. Sélectionnez Gérer les balises, puis Ajouter une nouvelle balise.

  6. Dans le champ CléInspectorCodeExclusion, entrez, puis dans le champ Valeur, entrezLambdaCodeScanning.

  7. Sélectionnez Enregistrer pour ajouter le tag et exclure votre fonction du scan du code Lambda par Amazon Inspector.

Pour plus d'informations sur l'ajout de balises dans Lambda, consultez la section Utilisation de balises dans les fonctions Lambda.