本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Inspector 调查发现类型
本节介绍 Amazon Inspector 中的不同调查发现类型。
**Topics**
+ [程序包漏洞](#findings-types-package)
+ [代码漏洞](#findings-types-code)
+ [网络可达性](#findings-types-network)
## 程序包漏洞
Package 漏洞发现可识别您的 AWS 环境中暴露于常见漏洞和漏洞的软件包(CVEs)。攻击者可以利用这些未修补的漏洞来破坏数据的保密性、完整性或可用性,或访问其他系统。CVE 系统提供了针对公共已知的信息安全漏洞和风险的参考方法。欲了解更多信息,请参阅 [https://www.cve.org/](https://www.cve.org/)。
Amazon Inspector 可以为 EC2 实例、ECR 容器映像和 Lambda 函数生成程序包漏洞调查发现。Package 漏洞发现包括此类发现所特有的细节。这些细节是 [Inspector 分数和漏洞情报](findings-understanding-score.md)。
对于 Windows EC2 实例,软件包漏洞发现结果可以通过微软知识库 (KB) 来识别, IDs 而不是通过个人来识别 CVEs。例如,如果知识库更新解决了一个或多个 CVE CVEs,Amazon Inspector 会报告一个 KB 查找结果`KB5023697`,而不是为每个 CVE 报告单独的查找结果。KB 调查结果指定了所有成分的最高 CVSS 分数、EPSS 分数和漏洞可用性。 CVEs
## 代码漏洞
代码漏洞调查发现有助于识别可被利用的代码行。代码漏洞包括缺少加密、数据泄露、注入缺陷以及弱加密。Amazon Inspector 会通过 [Lambda 函数扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)及其[代码安全](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)功能生成代码漏洞调查发现。
Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码,以分析应用程序代码的总体安全合规性。它基于与 Amazon Q 合作开发的内部检测器来识别违反政策的行为和漏洞。有关可能的检测的列表,请参阅 [Amazon Q 检测器库](https://docs.aws.amazon.com/amazonq/detector-library/)。
代码扫描可捕获代码片段以突出显示检测到的漏洞。例如,代码片段可能会以纯文本显示硬编码的凭证或其他敏感资料。Amazon Q 会存储与代码漏洞相关的代码片段。默认情况下,您的代码使用 [AWS 拥有的密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)进行加密。但是,如果您想更好地控制这些信息,则可以创建客户托管式密钥来加密您的代码。有关更多信息,请参阅 [对调查发现中的代码进行静态加密](encryption-rest.md#encryption-code-snippets)。
**注意**
组织的委派管理员无法查看属于成员账户的代码片段。
## 网络可达性
网络可达性调查发现表明,您的环境中存在通往 Amazon EC2 实例的开放网络路径。当您的 TCP 和 UDP 端口可以从 VPC 边缘(如互联网网关,包括应用程序负载均衡器或经典负载均衡器后的实例)、VPC 对等连接或使用虚拟网关的 VPN 到达时,就会出现这些调查发现。这些调查发现突出显示了可能过于宽松的网络配置,例如管理不善的安全组、访问控制列表或互联网网关,或者网络配置可能允许潜在的恶意访问。
Amazon Inspector 仅针对 Amazon EC2 实例生成网络可达性调查发现。启用 Amazon Inspector 后,Amazon Inspector 每 12 小时扫描一次网络可访问性发现。
Amazon Inspector 在扫描网络路径时会评估以下配置:
+ [Amazon EC2 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)
+ [应用程序负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Elastic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)
+ [互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)
+ [网络访问控制列表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ [路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
+ [安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [子网](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)
+ [Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
+ [虚拟专用网关](https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-create-vpg)
+ [VPC 端点](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [VPC 网关端点](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)
+ [VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)