Amazon Inspector 调查发现类型

本节介绍 Amazon Inspector 中的不同调查发现类型。

程序包漏洞

Package 漏洞发现可识别您的 AWS 环境中暴露于常见漏洞和漏洞的软件包（CVEs）。攻击者可以利用这些未修补的漏洞来破坏数据的保密性、完整性或可用性，或访问其他系统。CVE 系统提供了针对公共已知的信息安全漏洞和风险的参考方法。欲了解更多信息，请参阅 https://www.cve.org/。

Amazon Inspector 可以为 EC2 实例、ECR 容器映像和 Lambda 函数生成程序包漏洞调查发现。Package 漏洞发现包括此类发现所特有的细节。这些细节是 Inspector 分数和漏洞情报。

对于 Windows EC2 实例，软件包漏洞发现结果可以通过微软知识库 (KB) 来识别， IDs 而不是通过个人来识别 CVEs。例如，如果知识库更新解决了一个或多个 CVE CVEs，Amazon Inspector 会报告一个 KB 查找结果KB5023697，而不是为每个 CVE 报告单独的查找结果。KB 调查结果指定了所有成分的最高 CVSS 分数、EPSS 分数和漏洞可用性。 CVEs

代码漏洞

代码漏洞调查发现有助于识别可被利用的代码行。代码漏洞包括缺少加密、数据泄露、注入缺陷以及弱加密。Amazon Inspector 会通过 Lambda 函数扫描及其代码安全功能生成代码漏洞调查发现。

Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码，以分析应用程序代码的总体安全合规性。它基于与 Amazon Q 合作开发的内部检测器来识别违反政策的行为和漏洞。有关可能的检测的列表，请参阅 Amazon Q 检测器库。

代码扫描可捕获代码片段以突出显示检测到的漏洞。例如，代码片段可能会以纯文本显示硬编码的凭证或其他敏感资料。Amazon Q 会存储与代码漏洞相关的代码片段。默认情况下，您的代码使用 AWS 拥有的密钥进行加密。但是，如果您想更好地控制这些信息，则可以创建客户托管式密钥来加密您的代码。有关更多信息，请参阅 对调查发现中的代码进行静态加密。

网络可达性

网络可达性调查发现表明，您的环境中存在通往 Amazon EC2 实例的开放网络路径。当您的 TCP 和 UDP 端口可以从 VPC 边缘（如互联网网关，包括应用程序负载均衡器或经典负载均衡器后的实例）、VPC 对等连接或使用虚拟网关的 VPN 到达时，就会出现这些调查发现。这些调查发现突出显示了可能过于宽松的网络配置，例如管理不善的安全组、访问控制列表或互联网网关，或者网络配置可能允许潜在的恶意访问。

Amazon Inspector 仅针对 Amazon EC2 实例生成网络可达性调查发现。启用 Amazon Inspector 后，Amazon Inspector 每 12 小时扫描一次网络可访问性发现。

Amazon Inspector 在扫描网络路径时会评估以下配置：