As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Lambda Funções de digitalização com o Amazon Inspector
O suporte do Amazon Inspector para AWS Lambda funções e camadas fornece avaliações contínuas e automatizadas de vulnerabilidades de segurança. O Amazon Inspector oferece dois tipos de escaneamento de funções Lambda:
Escaneamento padrão do Lambda do Amazon Inspector
Esse é o tipo padrão de escaneamento do Lambda. O escaneamento padrão do Lambda verifica as dependências do aplicativo em uma função e camadas do Lambda em busca de vulnerabilidades de pacotes.
Escaneamento de código do Lambda do Amazon Inspector
Esse tipo de escaneamento verifica o código do aplicativo personalizado em sua função e camadas do Lambda em busca de vulnerabilidades de código. Você pode ativar o escaneamento padrão Lambda ou ativar o escaneamento padrão Lambda com o escaneamento de código Lambda.
Quando você ativa a verificação da função Lambda, o Amazon Inspector cria os AWS CloudTrail seguintes canais vinculados ao serviço em sua conta: e. cloudtrail:CreateServiceLinkedChannel
cloudtrail:DeleteServiceLinkedChannel
O Amazon Inspector gerencia esses canais e os usa para monitorar seus CloudTrail eventos em busca de escaneamentos. Esses canais permitem que você veja CloudTrail os eventos em sua conta como se tivesse entrado CloudTrail. Recomendamos que você crie sua própria trilha CloudTrail para gerenciar eventos em sua conta.
Para obter informações sobre como ativar o escaneamento da função Lambda, consulte Ativando um tipo de escaneamento. Esta seção fornece informações sobre o escaneamento da função Lambda.
Comportamentos de verificação para escaneamento de funções do Lambda
Após a ativação, o Amazon Inspector verifica todas as funções do Lambda invocadas ou atualizadas nos últimos 90 dias em sua conta. O Amazon Inspector inicia verificações de vulnerabilidade das funções do Lambda nas seguintes situações:
-
Assim que o Amazon Inspector descobre uma função do Lambda existente.
-
Ao implantar uma nova função do Lambda no serviço do Lambda.
-
Ao implantar uma atualização no código do aplicativo ou nas dependências de uma função do Lambda existente ou de suas camadas.
-
Sempre que o Amazon Inspector adiciona um novo item comum de vulnerabilidades e exposições (CVE) ao seu banco de dados, e isso CVE é relevante para sua função.
O Amazon Inspector monitora cada função do Lambda ao longo de sua vida útil até que ela seja apagada ou excluída da verificação.
Você pode verificar quando uma função Lambda foi verificada pela última vez em busca de vulnerabilidades na guia Funções do Lambda na página de gerenciamento de contas ou usando o ListCoverageAPI. O Amazon Inspector atualiza o campo Última verificação em para uma função do Lambda em resposta aos seguintes eventos:
-
Quando o Amazon Inspector conclui uma verificação inicial de uma função do Lambda.
-
Quando uma função do Lambda é atualizada.
-
Quando o Amazon Inspector digitaliza novamente uma função Lambda porque um CVE novo item que afeta essa função foi adicionado ao banco de dados do Amazon Inspector.
Runtime com suporte e funções elegíveis
O Amazon Inspector suporta diferentes runtime para escaneamento padrão do Lambda e escaneamento de código do Lambda. Para obter uma lista dos tempos de execução com suporte para cada tipo de escaneamento, consulte Runtime com suporte: ao escaneamento padrão do Lambda do Amazon Inspector e Runtime com suporte: ao escaneamento de código do Lambda do Amazon Inspector.
Além de ter um runtime com suporte, uma função do Lambda precisa atender aos seguintes critérios para ser elegível para as verificações do Amazon Inspector:
-
A função foi invocada ou atualizada nos últimos 90 dias.
-
A função está marcada
$LATEST
. -
A função não é excluída das verificações por tags.
nota
As funções do Lambda que não foram invocadas ou modificadas nos últimos 90 dias são automaticamente excluídas das verificações. O Amazon Inspector retomará a verificação de uma função excluída automaticamente se ela for invocada novamente ou se forem feitas alterações no código da função do Lambda.