AWS Lambda Funções de digitalização com o Amazon Inspector - Amazon Inspector
Comportamentos de verificação para escaneamento de funções do LambdaFunções e runtime com suporte Escaneamento padrão do LambdaEscaneamento de código do Lambda

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Lambda Funções de digitalização com o Amazon Inspector

O suporte do Amazon Inspector para AWS Lambda funções e camadas fornece avaliações contínuas e automatizadas de vulnerabilidades de segurança. O Amazon Inspector oferece dois tipos de escaneamento de funções Lambda:

Escaneamento padrão do Lambda do Amazon Inspector

Esse é o tipo padrão de escaneamento do Lambda. O escaneamento padrão do Lambda verifica as dependências do aplicativo em uma função e camadas do Lambda em busca de vulnerabilidades de pacotes.

Escaneamento de código do Lambda do Amazon Inspector

Esse tipo de escaneamento verifica o código do aplicativo personalizado em sua função e camadas do Lambda em busca de vulnerabilidades de código. Você pode ativar o escaneamento padrão Lambda ou ativar o escaneamento padrão Lambda com o escaneamento de código Lambda.

Quando você ativa a verificação da função Lambda, o Amazon Inspector cria os AWS CloudTrail seguintes canais vinculados ao serviço em sua conta: e. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel O Amazon Inspector gerencia esses canais e os usa para monitorar seus CloudTrail eventos em busca de escaneamentos. Esses canais permitem que você veja CloudTrail os eventos em sua conta como se tivesse entrado CloudTrail. Recomendamos que você crie sua própria trilha CloudTrail para gerenciar eventos em sua conta.

Para obter informações sobre como ativar o escaneamento da função Lambda, consulte Ativando um tipo de escaneamento. Esta seção fornece informações sobre o escaneamento da função Lambda.

Comportamentos de verificação para escaneamento de funções do Lambda

Após a ativação, o Amazon Inspector verifica todas as funções do Lambda invocadas ou atualizadas nos últimos 90 dias em sua conta. O Amazon Inspector inicia verificações de vulnerabilidade das funções do Lambda nas seguintes situações:

  • Assim que o Amazon Inspector descobre uma função do Lambda existente.

  • Ao implantar uma nova função do Lambda no serviço do Lambda.

  • Ao implantar uma atualização no código do aplicativo ou nas dependências de uma função do Lambda existente ou de suas camadas.

  • Sempre que o Amazon Inspector adiciona um novo item comum de vulnerabilidades e exposições (CVE) ao seu banco de dados, e isso CVE é relevante para sua função.

O Amazon Inspector monitora cada função do Lambda ao longo de sua vida útil até que ela seja apagada ou excluída da verificação.

Você pode verificar quando uma função Lambda foi verificada pela última vez em busca de vulnerabilidades na guia Funções do Lambda na página de gerenciamento de contas ou usando o. ListCoverageAPI O Amazon Inspector atualiza o campo Última verificação em para uma função do Lambda em resposta aos seguintes eventos:

  • Quando o Amazon Inspector conclui uma verificação inicial de uma função do Lambda.

  • Quando uma função do Lambda é atualizada.

  • Quando o Amazon Inspector digitaliza novamente uma função Lambda porque um CVE novo item que afeta essa função foi adicionado ao banco de dados do Amazon Inspector.

Runtime com suporte e funções elegíveis

O Amazon Inspector suporta diferentes runtime para escaneamento padrão do Lambda e escaneamento de código do Lambda. Para obter uma lista dos tempos de execução com suporte para cada tipo de escaneamento, consulte Runtime com suporte: ao escaneamento padrão do Lambda do Amazon Inspector e Runtime com suporte: ao escaneamento de código do Lambda do Amazon Inspector.

Além de ter um runtime com suporte, uma função do Lambda precisa atender aos seguintes critérios para ser elegível para as verificações do Amazon Inspector:

  • A função foi invocada ou atualizada nos últimos 90 dias.

  • A função está marcada $LATEST.

  • A função não é excluída das verificações por tags.

nota

As funções do Lambda que não foram invocadas ou modificadas nos últimos 90 dias são automaticamente excluídas das verificações. O Amazon Inspector retomará a verificação de uma função excluída automaticamente se ela for invocada novamente ou se forem feitas alterações no código da função do Lambda.

Escaneamento padrão do Lambda do Amazon Inspector

A verificação padrão do Lambda do Amazon Inspector identifica vulnerabilidades de software nas dependências do pacote de aplicativos adicionadas ao código e nas camadas da função do Lambda. Por exemplo, se sua função do Lambda usa uma versão do pacote de python-jwt com uma vulnerabilidade conhecida, o escaneamento padrão do Lambda gerará uma descoberta para essa função.

Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacote do aplicativo da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo de Vulnerabilidade do pacote.

Para obter instruções sobre como ativar um tipo de escaneamento, consulte Ativar um tipo de verificação.

nota

O escaneamento padrão do Lambda não verifica a AWS SDK dependência instalada por padrão no ambiente de execução do Lambda. O Amazon Inspector verifica apenas dependências carregadas com o código de função ou herdadas de uma camada.

nota

Desativar o escaneamento padrão do Lambda do Amazon Inspector também desativará o escaneamento de código do Lambda do Amazon Inspector.

Excluir as funções do escaneamento padrão do Lambda

Marque determinadas funções para excluí-las dos escaneamentos padrão do Lambda do Amazon Inspector. A exclusão de funções dos escaneamentos pode ajudar a evitar alertas inacionáveis.

Para excluir uma função do Lambda do escaneamento padrão do Lambda, marque a função com o seguinte par de valores-chave:

  • Chave:InspectorExclusion

  • Valor:LambdaStandardScanning

Para excluir uma função do escaneamento padrão do Lambda

  1. Faça login usando suas credenciais e abra o console Lambda em. https://console.aws.amazon.com/lambda/

  2. Selecione a opção Funções.

  3. Na tabela de funções, selecione o nome de uma função que você gostaria de excluir do escaneamento padrão do Lambda do Amazon Inspector.

  4. Selecione Configuração e escolha Tags no menu.

  5. Selecione Gerenciar tags e depois Adicionar nova tag.

  6. No campo Chave, insira InspectorExclusion e, em seguida, no campo Valor, insira LambdaStandardScanning.

  7. Selecione Salvar para adicionar a tag e excluir sua função do escaneamento padrão do Lambda do Amazon Inspector.

Para obter mais informações sobre como adicionar tags no Lambda, consulte Usar tags nas funções do Lambda.

Escaneamento de código do Lambda do Amazon Inspector

Importante

Esse recurso também captura trechos de funções do Lambda para destacar vulnerabilidades detectadas, e esses trechos podem mostrar credenciais codificadas ou outros materiais confidenciais em texto simples.

O escaneamento de código Lambda escaneia o código do aplicativo personalizado em uma função Lambda em busca de vulnerabilidades de código que se baseiam nas melhores práticas de AWS segurança e podem detectar o seguinte:.

  • Falhas de injeção

  • Vazamentos de dados

  • Criptografia fraca

  • Criptografia ausente em seu código

Para obter informações sobre as regiões disponíveis, consulteDisponibilidade de recursos específicos da região.

nota

Ative o escaneamento de código do Lambda junto com o escaneamento padrão do Lambda.

O Amazon Inspector usa raciocínio automatizado e aprendizado de máquina para avaliar seu código de aplicativo da função Lambda e detectores internos que são desenvolvidos em colaboração com a Amazon CodeGuru para identificar vulnerabilidades e violações de políticas. Para obter uma lista de possíveis detecções, consulte a Biblioteca de CodeGuru Detectores.

Se o Amazon Inspector detectar uma vulnerabilidade no código do aplicativo da função Lambda, ele produzirá um tipo de descoberta de vulnerabilidade de código. Esse tipo de descoberta inclui um trecho de código mostrando o problema, especifica onde esse problema está localizado no código e sugere como corrigi-lo. A sugestão de correção inclui blocos de plug-and-play código que você pode usar para substituir linhas de código vulneráveis. As correções de código sugeridas são fornecidas além da orientação geral de correção de código para esse tipo de descoberta.

As sugestões de correção de código são baseadas em raciocínio automatizado e serviços generativos de inteligência artificial e podem não funcionar conforme o esperado. No entanto, você é responsável pelas sugestões de correção de código que você adota. Sempre analise as sugestões de correção de código antes de adotá-las, pois talvez seja necessário fazer edições para garantir que seu código funcione conforme o esperado. Para obter mais informações, consulte a Política de IA responsável.

Criptografar seu código em descobertas de vulnerabilidade de código

CodeGuru armazena trechos de código que são detectados como relacionados a uma descoberta de vulnerabilidade de código usando a digitalização de código Lambda.

Por padrão, CodeGuru controla a AWS chave própria usada para criptografar seu código. No entanto, você pode usar sua própria chave gerenciada pelo cliente para criptografia por meio do Amazon InspectorAPI. Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas

O escaneamento de código Lambda pode ser ativado com o escaneamento padrão do Lambda. Para obter instruções sobre como ativar um tipo de verificação, consulte Ativar um tipo de verificação.

Excluir funções do escaneamento de código do Lambda

Para parar de receber alertas que não são acionáveis, você pode marcar as funções do Lambda que você deseja excluir do escaneamento de código do Lambda.

Ao marcar uma função do Lambda que você deseja excluir do escaneamento de código do Lambda, use o seguinte par de valores-chave:

  • Chave: InspectorCodeExclusion

  • Valor: LambdaCodeScanning

O procedimento a seguir descreve como fazer isso com mais detalhes.

Para excluir uma função do escaneamento de código do Lambda

  1. Faça login usando suas credenciais e abra o console Lambda em. https://console.aws.amazon.com/lambda/

  2. Selecione Funções.

  3. Na tabela de funções, selecione o nome de uma função que você deseja excluir do escaneamento de código Lambda do Amazon Inspector.

  4. Escolha Configuration (Configuração) e depois Tags (Etiquetas).

  5. Escolha a guia Gerenciar tags e depois Adicionar nova tag.

  6. No campo, Chave, insira InspectorCodeExclusion. No campo Valor, insiraLambdaCodeScanning.

  7. Escolha Salvar para adicionar a tag que exclui sua função do escaneamento de código Lambda.

Para obter mais informações sobre como adicionar tags no Lambda, consulte Como usar tags nas funções do Lambda no Guia do desenvolvedor.AWS Lambda