• アップデート概要
• 検証
  • 事前準備
  • 検知させてみる
• まとめ

Amazon InspectorがAWS Lambdaの脆弱性スキャンに対応したようなので、検証してみました。

aws.amazon.com

アップデート概要

Amazon Inspectorは脆弱性を管理するためのサービスで、Amazon EC2やAmazon ECRのコンテナイメージに、脆弱性が存在しないかを継続的にスキャンします。
今回新たに、AWS Lambda関数とAWS Lambda Layersの脆弱性スキャンに対応しました。
スキャン対象は、Java、NodeJS、および Pythonで記述された関数とレイヤーです。
スキャンタイミングは、Lambdaのデプロイ時、Lambdaの更新時、新しい脆弱性 ( CVE ) の公開時です。

検証

事前準備

Inspectorの画面です。
Lambdaの項目が増えています。

以前からInspectorを使用している場合は無効化になっているので、有効化する必要があります。

アカウント管理から、「有効化」→「Lambda標準スキャン」を押下します。

有効化されました。

Organizationを使っていれば、Inspector委任管理者アカウントから全アカウントまとめて有効化できます。
新しいメンバーアカウントを追加したときに、Lambdaスキャンが有効化になるように、「Lambda標準スキャン」にチェックを入れて保存しておきましょう。

検知させてみる

適当なLambda関数を作成します。

AWSから提供されている、「arn:aws:lambda:ap-northeast-1:249908578461:layer:AWSLambda-Python37-SciPy1x:118」レイヤーを追加してみました。

しばらくすると検知されました。

Lambda別画面で検出結果が見れます。

こちらは、全ての検出結果画面です。
脆弱性のタイトルから、検知の詳細を見ることができます。

まとめ

簡単にLambdaの脆弱性スキャンを行うことができました。
これまでambdaの脆弱性診断は、サードパーティ製品を使う必要がありましたが、ネイティブ機能で実施できる点はメリットだと思います。