本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Inspector 进行扫描 Amazon Lambda
<a name="scanning-lambda"></a>

 Amazon Inspector 对 Amazon Lambda 功能和层的支持可提供持续的自动安全漏洞评估。Amazon Inspector 提供两种类型的 Lambda 函数扫描。

**[Amazon Inspector Lambda 标准扫描](https://docs.amazonaws.cn/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 此扫描类型是默认的 Lambda 扫描类型。它会扫描 Lambda 函数和层中的应用程序依赖关系，以查找[程序包漏洞](findings-types.md#findings-types-package)。

**[Amazon Inspector Lambda 代码扫描](https://docs.amazonaws.cn/inspector/latest/user/scanning_resources_lambda_code.html)**  
 这种扫描类型会扫描 Lambda 函数及层中的自定义应用程序代码，以查找[代码漏洞](findings-types.md#findings-types-code)。您可以激活 Lambda 标准扫描，也可以同时激活 Lambda 标准扫描和 Lambda 代码扫描。

 如果要激活 Lambda 代码扫描，则必须先激活 Lambda 代码扫描。有关更多信息，请参阅[激活扫描类型](https://docs.amazonaws.cn/inspector/latest/user/activate-scans.html)。

 激活 Lambda 函数扫描后，Amazon Inspector 会在您的账户中创建以下服务相关通道：`cloudtrail:CreateServiceLinkedChannel` 和 `cloudtrail:DeleteServiceLinkedChannel`。Amazon Inspector 管理这些渠道，并使用它们来监控扫描 CloudTrail 事件。这些频道允许您查看账户中的 CloudTrail 事件，就像有跟踪一样 CloudTrail。我们建议您在中创建自己的跟踪 CloudTrail 以管理您账户中的事件。有关如何查看这些通道的信息，请参阅《Amazon CloudTrail 用户指南》**中的[查看服务相关通道](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)。

**注意**  
 Amazon Inspector 不支持扫描[使用客户托管密钥加密的 Lambda 函数](https://docs.amazonaws.cn/lambda/latest/dg/security-encryption-at-rest.html)。这一点适用于 Lambda 标准扫描和 Lambda 代码扫描。

## Lambda 函数扫描的扫描行为
<a name="lambda-scan-behavior"></a>

激活后，Amazon Inspector 会扫描您账户中过去 90 天内调用或更新的所有 Lambda 函数。在以下情况下，Amazon Inspector 会对 Lambda 函数启动漏洞扫描：
+ Amazon Inspector 发现现有 Lambda 函数时。
+ 将新的 Lambda 函数部署到 Lambda 服务时。
+ 部署现有 Lambda 函数或其层的应用程序代码或依赖项更新时。
+ Amazon Inspector 在其数据库中添加新的常见漏洞和风险（CVE）项目，且该 CVE 与您的函数相关时。

Amazon Inspector 会在每个 Lambda 函数的整个生命周期内对其进行监控，直到该函数被删除或被排除在扫描范围之外。

您可以通过**账户管理**页面的 **Lambda 函数**选项卡或使用 [https://docs.amazonaws.cn/inspector/v2/APIReference/API_ListCoverage.html](https://docs.amazonaws.cn/inspector/v2/APIReference/API_ListCoverage.html) API 来查看上次检查 Lambda 函数是否存在漏洞的时间。发生以下事件时，Amazon Inspector 会更新 Lambda 函数的**上次扫描时间**字段：
+ Amazon Inspector 完成对 Lambda 函数的初始扫描时。
+ 更新 Lambda 函数时。
+ 由于影响 Lambda 函数的新 CVE 项目添加到 Amazon Inspector 数据库中，Amazon Inspector 重新扫描该函数时。

## 支持的运行时系统和符合条件的函数
<a name="supported-functions"></a>

对于 Lambda 标准扫描和 Lambda 代码扫描，Amazon Inspector 支持不同的运行时系统。有关每种扫描类型支持的运行时系统的列表，请参阅[支持的运行时系统：Amazon Inspector Lambda 标准扫描](supported.md#supported-programming-languages-lambda-standard)和[支持的运行时系统：Amazon Inspector Lambda 代码扫描](supported.md#supported-programming-languages-lambda-code)。

除了具有受支持的运行时系统之外，Lambda 函数还需要满足以下条件才有资格进行 Amazon Inspector 扫描：
+ 过去 90 天内调用或更新过该函数。
+ 该函数被标记为 `$LATEST`。
+ 该函数未按标签从扫描中排除。

**注意**  
过去 90 天内未调用或修改的 Lambda 函数将自动排除在扫描范围之外。如果 Lambda 函数再次被调用或对函数代码进行了更改，则 Amazon Inspector 将恢复对自动排除的函数的扫描。