Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Automatisation des évaluations de sécurité pour Lambda avec Amazon Inspector
Amazon Inspector
Le support d'Amazon Inspector fournit une évaluation automatique et continue des vulnérabilités de sécurité pour les fonctions et les couches Lambda. Amazon Inspector propose deux types de scan pour Lambda :
-
Analyse standard Lambda (par défaut) : analyse les dépendances des applications au sein d'une fonction Lambda et de ses couches pour détecter les vulnérabilités des packages.
-
Analyse du code Lambda : analyse le code d'application personnalisé dans vos fonctions et couches pour détecter les vulnérabilités du code. Vous pouvez activer l’analyse standard Lambda ou activer l’analyse standard Lambda conjointement avec l’analyse du code Lambda.
Pour activer Amazon Inspector, accédez à la console Amazon Inspector
Vous pouvez activer Amazon Inspector pour plusieurs comptes et déléguer les autorisations de gestion d'Amazon Inspector pour l'organisation à des comptes spécifiques lors de la configuration d'Amazon Inspector. Lors de l'activation, vous devez accorder des autorisations à Amazon Inspector en créant le rôle :AWSServiceRoleForAmazonInspector2. La console Amazon Inspector vous permet de créer ce rôle à l'aide d'une option en un clic.
Pour l'analyse standard Lambda, Amazon Inspector lance des analyses de vulnérabilité des fonctions Lambda dans les situations suivantes :
-
Dès qu'Amazon Inspector découvre une fonction Lambda existante.
-
Lorsque vous déployez une fonction Lambda.
-
Lorsque vous déployez une mise à jour du code d'application ou des dépendances d'une fonction Lambda existante ou de ses couches.
-
Chaque fois qu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre fonction.
Pour l’analyse du code Lambda, Amazon Inspector évalue le code d'application de votre fonction Lambda à l'aide d'un raisonnement automatisé et d'un machine learning qui analyse le code de votre application pour vérifier sa conformité globale en matière de sécurité. Si Amazon Inspector détecte une vulnérabilité dans le code d'application de votre fonction Lambda, Amazon Inspector produit une recherche détaillée de vulnérabilité dans le code. Pour obtenir la liste des détections possibles, consultez la bibliothèque de détecteurs Amazon CodeGuru.
Pour consulter les résultats, rendez-vous sur la console Amazon Inspector
Pour exclure une fonction Lambda de l’analyse standard, balisez la fonction avec la paire clé-valeur suivante :
-
Key:InspectorExclusion -
Value:LambdaStandardScanning
Pour exclure une fonction Lambda des analyses du code, balisez la fonction avec la paire clé-valeur suivante :
-
Key:InspectorCodeExclusion -
Value:LambdaCodeScanning
Par exemple, comme le montre l'image suivante, Amazon Inspector détecte automatiquement les vulnérabilités et classe les résultats de type Vulnérabilité de code, ce qui indique que la vulnérabilité se trouve dans le code de la fonction, et non dans l'une des bibliothèques dépendantes du code. Vous pouvez vérifier ces informations pour une fonction spécifique ou pour plusieurs fonctions à la fois.
Vous pouvez approfondir chacun de ces résultats et découvrir comment remédier au problème.
Lorsque vous travaillez avec vos fonctions Lambda, assurez-vous de respecter les conventions de dénomination de vos fonctions Lambda. Pour en savoir plus, consultez Création de variables d’environnement Lambda.
Vous êtes responsable des suggestions de correction que vous acceptez. Passez toujours en revue les suggestions de correction avant de les accepter. Vous devrez peut-être apporter des modifications aux suggestions de correction pour vous assurer que votre code répond à vos attentes.
