本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Inspector 进行扫描 Amazon Lambda
Amazon Inspector 对 Amazon Lambda 功能和层的支持可提供持续的自动安全漏洞评估。Amazon Inspector 提供两种类型的 Lambda 函数扫描:
Amazon Inspector Lambda 标准扫描
这是默认的 Lambda 扫描类型。Lambda 标准扫描会扫描 Lambda 函数中的应用程序依赖关系和分层以查找包漏洞。
Amazon Inspector Lambda 代码扫描
此扫描类型会扫描 Lambda 函数中的自定义应用程序代码,并对代码漏洞进行分层。您可以激活 Lambda 标准扫描,也可以使用 Lambda 代码扫描激活 Lambda 标准扫描。
当您激活 Lambda 函数扫描时,Amazon Inspector 会在您的账户中创建以下Amazon CloudTrail 与服务相关的渠道:和。cloudtrail:CreateServiceLinkedChannel
cloudtrail:DeleteServiceLinkedChannel
Amazon Inspector 管理这些渠道,并使用它们来监控您的扫描 CloudTrail 事件。这些渠道允许您查看账户中的 CloudTrail 事件,就好像有追踪一样 CloudTrail。我们建议您在中创建自己的跟踪 CloudTrail 以管理您的账户的事件。
有关如何激活 Lambda 函数扫描的信息,请参阅激活扫描类型。本节提供有关 Lambda 函数扫描的信息。
Lambda 函数扫描的扫描行为
激活后,Amazon Inspector 会扫描您账户中过去 90 天内调用或更新的所有 Lambda 函数。在以下情况下,Amazon Inspector 会对 Lambda 函数启动脆弱性扫描:
-
Amazon Inspector 发现现有 Lambda 函数时。
-
将新的 Lambda 函数部署到 Lambda 服务时。
-
部署现有 Lambda 函数或其层的应用程序代码或依赖项更新时。
-
每当 Amazon Inspector 在其数据库中添加新的常见漏洞和暴露 (CVE) 项目时,CVE该项目与你的职能有关。
Amazon Inspector 会在每个 Lambda 函数的整个生命周期内对其进行监控,直到该函数被删除或被排除在扫描范围之外。
您可以从账户管理页面的 Lambda 函数选项卡中查看上次检查 Lam bda 函数是否存在漏洞的时间,也可以使用 ListCoverageAPI。发生以下事件时,Amazon Inspector 会更新 Lambda 函数的上次扫描时间字段:
-
Amazon Inspector 完成对 Lambda 函数的初始扫描时。
-
更新 Lambda 函数时。
-
当 Amazon Inspector 重新扫描 Lambda 函数时,因为影响该函数CVE的新项目已添加到 Amazon Inspector 数据库中。
支持的运行时系统和符合条件的函数
对于 Lambda 标准扫描和 Lambda 代码扫描,Amazon Inspector 支持不同的运行时系统。有关每种扫描类型支持的运行时系统的列表,请参阅支持的运行时系统:Amazon Inspector Lambda 标准扫描和支持的运行时系统:Amazon Inspector Lambda 代码扫描。
除了具有受支持的运行时系统之外,Lambda 函数还需要满足以下条件才有资格进行 Amazon Inspector 扫描:
-
过去 90 天内调用或更新过该函数。
-
该函数被标记为
$LATEST
。 -
该函数未按标签从扫描中排除。
注意
过去 90 天内未调用或修改的 Lambda 函数将自动排除在扫描范围之外。如果 Lambda 函数再次被调用或对函数代码进行了更改,则 Amazon Inspector 将恢复对自动排除的函数的扫描。