创建扫描配置 - Amazon Inspector
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建扫描配置

在创建扫描配置之前,您必须创建与 Amazon Inspector 的集成。首次创建集成时,系统会提示您创建默认扫描配置。本主题介绍如何创建常规扫描配置。默认扫描配置和常规扫描配置的区别在于,默认扫描配置会自动附加到新项目。您可以跳过创建默认扫描配置。

Code Security 最多仅支持 500 个常规扫描配置。Code Security 每个账户和每个组织仅支持 1 个默认扫描配置。一个扫描配置最多只能与 10 万个项目关联。

一个项目最多可以与总计 4 个扫描配置关联。如果已创建默认扫描配置,则这包括默认扫描配置。无法标记组织的扫描配置。

如果组织的委派管理员创建扫描配置,则扫描配置将在组织级别创建,并应用于组织中的所有成员账户。如果委派管理员创建默认扫描配置,也会发生同样的情况。

在创建扫描配置时,可以选择扫描频率、扫描分析和要扫描的存储库。扫描频率可以是基于变化的定期扫描,也可以自定义。如果选择基于变化的定期扫描,则可以选择启用定期扫描。如果启用定期扫描,则可以将扫描频率设置为扫描发生在周几或月中的某日。自定义扫描允许您选择在更改代码时启用扫描以及进行定期扫描。如果您在更改代码时启用扫描,则可以指定要包含在合并和拉取请求中的扫描触发器。

如果提交 ID 在设定时间内没有变化,可以跳过扫描。对于定期扫描,如果提交 ID 在 1 周内扫描之间没有变化,则会跳过扫描。对于按需扫描,如果提交 ID 在 24 小时内扫描之间没有变化,则会跳过扫描。

注意

如果扫描配置仅具有针对合并请求和拉取请求的触发器,则仅呈现前 25 个关键或重要扫描结果,并且仅在源代码管理平台中显示。在 Amazon Inspector 中不会显示任何内容。

创建常规扫描配置

  1. 使用您的凭证登录。打开 Amazon Inspector 控制台:https://console.aws.amazon.com/inspector/v2/home

  2. 从导航窗格中,选择 Code Security

  3. 选择配置,然后选择创建扫描配置

  4. 扫描详细信息下,执行以下操作:

    1. 对于配置名称,输入扫描配置的名称。

  5. 扫描频率下,通过选择基于变化的定期扫描自定义扫描类型和触发器,来指定代码扫描的频率。

    1. (选项 1)如果选择基于变化的定期扫描,请选择启用定期扫描禁用定期扫描

      1. 如果选择启用定期扫描,请通过选择要扫描代码的具体星期和日期来设置扫描频率。

    2. (选项 2)如果选择自定义扫描,请决定是否在更改代码时启用扫描以及进行定期扫描。

      1. 选择更改代码时启用扫描更改代码时禁用扫描。如果选择更改代码时启用扫描,请从下拉菜单中指定扫描触发的时间。

      2. 选择启用定期扫描禁用定期扫描。如果选择启用定期扫描,请通过选择要扫描代码的具体星期和日期来设置扫描频率。也可以根据基于事件的触发器进行扫描。这些事件包括当对默认分支打开拉取请求时,以及在将提交推送到默认分支时。

  6. 扫描分析下,决定是配置完成扫描分析还是配置自定义扫描分析:

    1. (选项 1)如果选择完成扫描分析,将应用以下所有扫描分析:

      • 静态应用程序安全测试 – 分析源代码中是否存在漏洞。

      • IaC 扫描 – 分析配置和预置基础设施的脚本和代码。

      • 静态软件组成分析 – 检查应用程序中的开源包。

    2. (选项 2)如果选择自定义的扫描分析,则必须从下拉菜单中选择至少一种前面提到的扫描分析类型:

  7. (可选)对于标签,创建要应用于项目的键值对。最多可以创建 50 个标签。

  8. 选择下一步

  9. 存储库选择下,选择所有存储库特定存储库

    1. (选项 1)如果选择所有存储库,则会对任何现有存储库启用扫描。

    2. (选项 2)如果选择特定存储库,则仅对您指定的存储库启用扫描。

  10. 选择下一步

  11. 查看您的选择,然后选择创建扫描配置

注意

常规扫描配置仅适用于所有现有的代码存储库。它们不会应用于新的代码存储库。