本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon Inspector 掃描 AWS Lambda 函數
<a name="scanning-lambda"></a>

 Amazon Inspector 支援 AWS Lambda 函數和層，提供持續自動化的安全漏洞評估。Amazon Inspector 提供兩種類型的 Lambda 函數掃描：

**[Amazon Inspector Lambda 標準掃描](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 此掃描類型是預設的 Lambda 掃描類型。它會掃描 Lambda 函數和 layer 中的應用程式相依性，以找出[套件漏洞](findings-types.md#findings-types-package)。

**[Amazon Inspector Lambda 程式碼掃描](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 此掃描類型會掃描 Lambda 函數和 layer 中的自訂應用程式程式碼，以找出[程式碼漏洞](findings-types.md#findings-types-code)。您可以使用 Lambda 程式碼掃描來啟用 Lambda 標準掃描或 Lambda 標準掃描。

 如果您想要啟用 Lambda 程式碼掃描，您必須先啟用 Lambda 標準掃描。如需詳細資訊，請參閱[啟用掃描類型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。

 當您啟用 Lambda 函數掃描時，Amazon Inspector 會在您的帳戶中建立下列服務連結頻道： `cloudtrail:CreateServiceLinkedChannel`和 `cloudtrail:DeleteServiceLinkedChannel`。Amazon Inspector 會管理這些頻道，並使用它們來監控 CloudTrail 事件以進行掃描。這些頻道可讓您檢視帳戶中的 CloudTrail 事件，就像在 CloudTrail 中擁有線索一樣。我們建議您在 CloudTrail 中建立自己的線索，以管理帳戶中的事件。如需如何檢視這些頻道的資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[檢視服務連結頻道](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)。

**注意**  
 Amazon Inspector 不支援掃描[使用客戶受管金鑰加密的 Lambda 函數](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html)。這適用於 Lambda 標準掃描和 Lambda 程式碼掃描。

## Lambda 函數掃描的掃描行為
<a name="lambda-scan-behavior"></a>

啟用時，Amazon Inspector 會掃描您帳戶中過去 90 天內叫用或更新的所有 Lambda 函數。Amazon Inspector 會在下列情況啟動 Lambda 函數的漏洞掃描：
+ 一旦 Amazon Inspector 發現現有 Lambda 函數。
+ 當您將新的 Lambda 函數部署到 Lambda 服務時。
+ 當您對現有的 Lambda 函數或其層的應用程式程式碼或相依性部署更新時。
+ 每當 Amazon Inspector 新增一個常見漏洞和暴露 (CVE) 項目到其資料庫，而該 CVE 與您的函數相關時。

Amazon Inspector 會在其生命週期內監控每個 Lambda 函數，直到刪除或排除在掃描之外為止。

您可以從**帳戶管理**頁面上的 Lambda 函數索引標籤或使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API **檢查 Lambda 函數**上次檢查漏洞的時間。Amazon Inspector 會更新 Lambda 函數**的上次掃描欄位**，以回應下列事件：
+ 當 Amazon Inspector 完成 Lambda 函數的初始掃描時。
+ 更新 Lambda 函數時。
+ 當 Amazon Inspector 重新掃描 Lambda 函數時，因為影響該函數的新 CVE 項目已新增至 Amazon Inspector 資料庫。

## 支援的執行時間和合格的函數
<a name="supported-functions"></a>

Amazon Inspector 支援 Lambda 標準掃描和 Lambda 程式碼掃描的不同執行時間。如需每種掃描類型支援的執行時間清單，請參閱 [支援的執行時間：Amazon Inspector Lambda 標準掃描](supported.md#supported-programming-languages-lambda-standard)和 [支援的執行時間：Amazon Inspector Lambda 程式碼掃描](supported.md#supported-programming-languages-lambda-code)。

除了具有支援的執行時間之外，Lambda 函數還必須符合下列條件，才有資格進行 Amazon Inspector 掃描：
+ 在過去 90 天內已叫用或更新函數。
+ 函數會標示為 `$LATEST`。
+ 該函數不會從標籤掃描中排除。

**注意**  
在過去 90 天內未叫用或修改的 Lambda 函數會自動從掃描中排除。如果再次叫用 或 Lambda 函數程式碼有所變更，Amazon Inspector 會繼續掃描自動排除的函數。