Amazon Inspector 調查結果類型

本節說明 Amazon Inspector 中的不同調查結果類型。

套件漏洞

套件漏洞調查結果會識別您 AWS 環境中暴露於常見漏洞和暴露的軟體套件 （CVEs）。攻擊者可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性，或存取其他系統。CVE 系統是公開已知資訊安全漏洞和暴露的參考方法。如需詳細資訊，請參閱 https：//https://www.cve.org/。

Amazon Inspector 可以為EC2執行個體、ECR容器映像和 Lambda 函數產生套件漏洞調查結果。套件漏洞調查結果具有此調查結果類型特有的其他詳細資訊，這些是 Inspector 分數和漏洞情報 。

程式碼漏洞

程式碼漏洞調查結果會識別程式碼中攻擊者可以利用的行。程式碼漏洞包括注入缺陷、資料洩漏、密碼編譯薄弱或程式碼缺少加密。

Amazon Inspector 會使用自動推理和機器學習來評估您的 Lambda 函數應用程式程式碼，這些程式碼會分析應用程式程式碼以確保整體安全合規。它根據與 Amazon 合作開發的內部偵測器來識別政策違規和漏洞 CodeGuru。如需可能的偵測清單，請參閱CodeGuru 偵測器程式庫 。

重要

Amazon Inspector 程式碼掃描會擷取程式碼片段，以反白顯示偵測到的漏洞。這些程式碼片段可能會以純文字顯示硬式編碼憑證或其他敏感資料。

如果您已啟用 Amazon Inspector Lambda 程式碼掃描，Amazon Inspector 可以為 Lambda 函數產生程式碼漏洞調查結果。

CodeGuru 服務會儲存偵測到與程式碼漏洞相關的程式碼片段。依預設，由 控制的AWS 擁有金鑰 CodeGuru 會用來加密程式碼，不過，您可以使用自己的客戶受管金鑰，透過 Amazon Inspector 進行加密API。如需詳細資訊，請參閱 靜態加密調查結果中的程式碼。

網路可及性

網路可及性調查結果指出您環境中有 Amazon EC2執行個體的開放網路路徑。當您的 TCP和 UDP 連接埠可從VPC邊緣連線時，例如網際網路閘道 （包括 Application Load Balancer 或 Classic Load Balancer 後面VPN的執行個體）、VPC對等連線，或透過虛擬閘道存取 時，就會顯示這些調查結果。這些調查結果強調了可能過度寬鬆的網路組態，例如管理不當的安全群組、存取控制清單或網際網路閘道，或可能允許潛在惡意存取的網路組態。

Amazon Inspector 只會產生 Amazon EC2執行個體的網路可及性調查結果。Amazon Inspector 每 24 小時執行網路可及性調查結果的掃描。

Amazon Inspector 會在掃描網路路徑時評估下列組態：

• Amazon EC2執行個體

• AWS Lambda 函數

• Application Load Balancer

• Direct Connect

• Elastic Load Balancer

• 彈性網路界面

• 網際網路閘道 (Internet Gateway)

• 網路存取控制清單

• 路由表

• 安全群組

• 子網

• 虛擬私有雲端

• 虛擬私有閘道

• VPC 端點

• VPC 閘道端點

• VPC 對等連線

• VPN 連線