As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de descoberta do Amazon Inspector
Esta seção descreve os diferentes tipos de descoberta no Amazon Inspector.
Vulnerabilidade do pacote
As descobertas de vulnerabilidade de pacotes identificam pacotes de software em seu AWS ambiente que estão expostos a vulnerabilidades e exposições comuns (). CVEs Os invasores podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. O CVE sistema é um método de referência para vulnerabilidades e exposições de segurança da informação conhecidas publicamente. Para obter mais informações, consulte https://www.cve.org/
O Amazon Inspector pode gerar descobertas de vulnerabilidade de pacotes para EC2 instâncias, imagens de ECR contêineres e funções Lambda. As descobertas de vulnerabilidade do pacote têm detalhes adicionais exclusivos para esse tipo de descoberta, como a Pontuação do inspetor e inteligência de vulnerabilidade.
Vulnerabilidade de código
As descobertas da vulnerabilidade do código identificam linhas em seu código que os invasores poderiam explorar. As vulnerabilidades do código incluem falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código.
O Amazon Inspector avalia o código do seu aplicativo de função do Lambda usando raciocínio automatizado e machine learning que analisa o código do seu aplicativo para verificar a conformidade geral de segurança. Ele identifica violações de políticas e vulnerabilidades com base em detectores internos desenvolvidos em colaboração com a Amazon. CodeGuru Para obter uma lista de possíveis detecções, consulte Biblioteca de CodeGuru detectores.
Importante
O escaneamento de código do Amazon Inspector captura trechos de código para destacar as vulnerabilidades detectadas. Esses trechos podem mostrar credenciais codificadas ou outros materiais confidenciais em texto simples.
O Amazon Inspector pode gerar descobertas de Vulnerabilidade de código para funções do Lambda se você tiver ativado o Escaneamento de código do Lambda do Amazon Inspector.
Os trechos de código detectados em conexão com uma vulnerabilidade de código são armazenados pelo CodeGuru serviço. Por padrão, uma AWS chave própria controlada por CodeGuru é usada para criptografar seu código, no entanto, você pode usar sua própria chave gerenciada pelo cliente para criptografia por meio do Amazon API Inspector. Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas.
Acessibilidade de rede
Os resultados de acessibilidade da rede indicam que há caminhos de rede abertos para as EC2 instâncias da Amazon em seu ambiente. Essas descobertas aparecem quando suas UDP portas TCP e portas podem ser VPC acessadas pelas bordas, como um gateway de internet (incluindo instâncias por trás de Application Load Balancers ou Classic Load Balancers), uma conexão VPC emparelhada ou por meio de um VPN gateway virtual. Essas descobertas destacam configurações de rede que podem ser excessivamente permissivas, como grupos de segurança mal gerenciados, listas de controle de acesso ou gateways de internet, ou que podem permitir acesso potencialmente mal intencionados.
O Amazon Inspector gera apenas resultados de acessibilidade de rede para instâncias da Amazon. EC2 O Amazon Inspector realiza verificações de descobertas de acessibilidade de rede a cada 24 horas.
O Amazon Inspector avalia as seguintes configurações ao verificar caminhos de rede:
