本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 调查发现类型
本节介绍 Amazon Inspector 中的不同调查发现类型。
程序包脆弱性
Package 漏洞发现可识别您的 Amazon 环境中暴露于常见漏洞和漏洞的软件包(CVEs)。攻击者可以利用这些未修补的脆弱性来破坏数据的保密性、完整性或可用性,或访问其他系统。CVE 系统提供了针对公共已知的信息安全脆弱性和风险的参考方法。欲了解更多信息,请参阅 https://www.cve.org/
Amazon Inspector 可以为 EC2 实例、ECR 容器镜像和 Lambda 函数生成软件包漏洞调查结果。程序包脆弱性调查发现具有该调查发现类型所特有的额外详细信息,即 Inspector 评分和脆弱性情报。
代码脆弱性
代码漏洞发现有助于识别可被利用的代码行。代码漏洞包括缺少加密、数据泄露、注入缺陷和密码学薄弱。Amazon Inspector 通过 Lambda 函数扫描及其代码安全功能生成代码漏洞发现。
Amazon Inspector 使用自动推理和机器学习来评估 Lambda 函数应用程序代码,以分析应用程序代码的总体安全合规性。它基于与 Amazon 合作开发的内部检测器来识别违反政策的行为和漏洞 CodeGuru。有关可能检测的列表,请参阅探CodeGuru 测器库。
代码扫描会捕获代码片段以突出显示检测到的漏洞。例如,代码片段可能以纯文本形式显示硬编码的凭据或其他敏感材料。 CodeGuru 存储与代码漏洞相关的代码片段。默认情况下,您的代码使用Amazon 自有密钥进行加密。但是,如果您想更好地控制这些信息,则可以创建客户托管密钥来加密您的代码。有关更多信息,请参阅 对调查发现中的代码进行静态加密。
注意
组织的委托管理员无法查看属于成员账户的代码片段。