本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 調查結果類型
本節說明 Amazon Inspector 中不同的問題清單類型。
套件漏洞
套件漏洞調查結果會識別您 AWS 環境中暴露於常見漏洞與暴露 (CVEs的軟體套件。攻擊者可以利用這些未修補的漏洞來危害資料的機密性、完整性或可用性,或存取其他系統。CVE 系統是公開已知資訊安全漏洞和暴露的參考方法。如需詳細資訊,請參閱 https://https://www.cve.org/
Amazon Inspector 可以為 EC2 執行個體、ECR 容器映像和 Lambda 函數產生套件漏洞調查結果。套件漏洞問題清單包含此類型問題清單特有的詳細資訊。這些詳細資訊是 Inspector 分數和漏洞智慧。
對於 Windows EC2 執行個體,可以透過 Microsoft 知識庫 (KB) IDs 來識別套件漏洞調查結果,而不是個別 CVEs。如果 KB 更新解決一或多個 CVEs,Amazon Inspector 會報告單一 KB 調查結果,例如 KB5023697,而不是每個 CVE 的個別調查結果。KB 調查結果會指定所有組成 CVEs 的最高 CVSS 分數、EPSS 分數和漏洞可用性。
程式碼漏洞
程式碼漏洞調查結果有助於識別可被利用的程式碼行。程式碼漏洞包括遺失加密、資料外洩、注入漏洞和弱式密碼編譯。Amazon Inspector 透過 Lambda 函數掃描及其程式碼安全功能產生程式碼漏洞問題清單。
Amazon Inspector 使用自動化推理和機器學習來評估 Lambda 函數應用程式程式碼,以分析應用程式程式碼的整體安全合規性。它根據與 Amazon Q 合作開發的內部偵測器來識別政策違規和漏洞。如需可能偵測的清單,請參閱 Amazon Q Detector Library。
程式碼掃描會擷取程式碼片段,以反白顯示偵測到的漏洞。例如,程式碼片段可能會以純文字顯示硬式編碼登入資料或其他敏感資料。Amazon Q 存放與程式碼漏洞相關聯的程式碼片段。根據預設,您的程式碼會使用 AWS 擁有的金鑰加密。不過,如果您想要進一步控制此資訊,您可以建立客戶受管金鑰來加密程式碼。如需詳細資訊,請參閱對問題清單中的程式碼進行靜態加密。
注意
組織的委派管理員無法檢視屬於成員帳戶的程式碼片段。
網路連線能力
網路連線能力調查結果指出您環境中有 Amazon EC2 執行個體的開放網路路徑。當您的 TCP 和 UDP 連接埠可從 VPC 邊緣連接時,例如網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後方的執行個體)、VPC 互連連線,或透過虛擬閘道連接 VPN 時,就會顯示這些問題清單。這些調查結果強調了可能過度寬鬆的網路組態,例如管理錯誤的安全群組、存取控制清單或網際網路閘道,或可能允許潛在的惡意存取。
Amazon Inspector 只會產生 Amazon EC2 執行個體的網路連線能力調查結果。啟用 Amazon Inspector 後,Amazon Inspector 會每 12 小時執行網路連線能力問題清單的掃描。
Amazon Inspector 會在掃描網路路徑時評估下列組態:
