Preguntas frecuentes de Amazon Inspector

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que analiza de forma continua Amazon Elastic Compute Cloud (EC2), las funciones de AWS Lambda y las imágenes de contenedores en Amazon ECR y dentro de herramientas de integración continua y entrega continua (CI/CD), casi en tiempo real para detectar vulnerabilidades de software y exposición involuntaria de la red.

Amazon Inspector elimina la sobrecarga operativa asociada a la implementación y configuración de una solución de administración de vulnerabilidades, ya que permite implementar Amazon Inspector en todas las cuentas con un solo paso. Los beneficios adicionales incluyen:

• detección automatizada y análisis continuo que proporcionan hallazgos de vulnerabilidad prácticamente en tiempo real

• Administración, configuración y visualización centralizadas de los resultados de todas las cuentas de su organización mediante el establecimiento de una cuenta de administrador delegado (DA)

• Una puntuación de riesgo de Amazon Inspector sumamente contextualizada y significativa para cada resultado con el fin de ayudarlo a establecer prioridades de respuesta más precisas

• Un panel intuitivo de Amazon Inspector para obtener métricas de cobertura, lo que incluye cuentas, instancias de Amazon EC2, funciones de Lambda e imágenes de contenedores en Amazon ECR y en herramientas de CI/CD, así como los repositorios de código dentro de su plataforma de administración de código fuente (SCM), prácticamente en tiempo real.

• Analice fácilmente las instancias de EC2 y cambie entre el análisis basado en agentes y el análisis sin agentes para maximizar la cobertura de la evaluación de vulnerabilidades.

• Administre, de forma centralizada, las exportaciones de listas de materiales del software (SBOM) para todos los recursos supervisados. 

• Integración con AWS Security Hub y Amazon EventBridge para automatizar los flujos de trabajo y el enrutamiento de tickets

Puede desactivar Amazon Inspector Classic con solo eliminar todas las plantillas de evaluación de su cuenta. Para acceder a los resultados de las evaluaciones existentes, puede descargarlos como informes o exportarlos mediante la API de Amazon Inspector. Puede activar el nuevo Amazon Inspector con unos solos pasos en la Consola de administración de AWS o mediante las nuevas API del inspector de Amazon. Encontrará los pasos detallados de la migración en la Guía del usuario de Amazon Inspector Classic.

Amazon Inspector se ha rediseñado y reestructurado con el objeto de crear un nuevo servicio de administración de vulnerabilidades. A continuación, se detallan las principales mejoras con respecto a Amazon Inspector Classic:

• Creado para el escalamiento: el nuevo Amazon Inspector se ha creado para operar en escala y adaptarse al entorno dinámico en la nube. No hay límite en el número de instancias o imágenes que se pueden analizar a la vez.

• Compatibilidad con imágenes de contenedores y funciones de Lambda: el nuevo Amazon Inspector también analiza las imágenes de contenedores que residen en Amazon ECR y en herramientas de CI/CD, y funciones de Lambda en busca de vulnerabilidades de software. Además, los resultados relacionados con los contenedores se envían a la consola de Amazon ECR.

• Compatibilidad con la administración de varias cuentas: el nuevo Amazon Inspector se integra con AWS Organizations, lo que permite delegar una cuenta de administrador de Amazon Inspector para su organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los resultados y es capaz de configurar todas las cuentas de los miembros.

• AWS Systems Manager Agent: con el nuevo Amazon Inspector, ya no es necesario que instale ni que mantenga un agente de Amazon Inspector independiente en todas sus instancias de Amazon EC2. Dado que el nuevo Amazon Inspector emplea un AWS Systems Manager Agent (SSM Agent) totalmente implementado, ya no resulta necesario.

• Análisis automatizado y continuo: el nuevo Amazon Inspector detecta de forma automática todas las instancias de Amazon EC2 recién lanzadas, las funciones de Lambda y las imágenes de contenedor elegibles enviadas a Amazon ECR, y las analiza de inmediato en busca de vulnerabilidades de software y exposición involuntaria a la red. Cuando se produce un evento que puede llegar a presentar una nueva vulnerabilidad, los recursos implicados se vuelven a analizar de forma automática. Algunos de los eventos que provocan que se vuelva a analizar un recurso son la instalación de un nuevo paquete en una instancia de EC2, la instalación de un parche y la publicación de nuevas vulnerabilidades y exposiciones comunes (CVE) que afecten al recurso.

• Puntuación de riesgo de Amazon Inspector: el nuevo Amazon Inspector calcula una puntuación de riesgo de Inspector mediante la correlación de la información actualizada de CVE con factores temporales y del entorno, como la accesibilidad a la red y la información de explotabilidad para agregar contexto a la hora de priorizar sus resultados.

• Cobertura de evaluación de vulnerabilidades: el nuevo Amazon Inspector mejora la evaluación de vulnerabilidades al analizar de forma íntegra las instancias de EC2 y cambiar entre el análisis basado en agentes y sin agentes.

• Exportación de listas de materiales (SBOM) de software: el nuevo Amazon Inspector administra y exporta de forma centralizada la SBOM de todos los recursos supervisados. 

• Análisis de los repositorios de código: el nuevo Amazon Inspector, con su integración nativa con GitHub y GitLab, le permite identificar y priorizar rápidamente las vulnerabilidades de seguridad y los errores de configuración en el código fuente, las dependencias y la infraestructura como código (IaC) de la aplicación.

Sí, puede utilizar ambos servicios simultáneamente en la misma cuenta.

Consulte la página de precios de Amazon Inspector para ver los detalles completos de los precios.

Todas las cuentas nuevas en Amazon Inspector pueden optar a una prueba gratuita de 15 días para evaluar el servicio y estimar su costo. Durante la prueba, todas las instancias de Amazon EC2, las funciones de AWS Lambda y las imágenes de contenedores que se envíen a Amazon ECR se analizarán de forma continua y gratuita. También puede consultar los gastos estimados en la consola de Amazon Inspector. Prueba gratuita también incluye el análisis de sus repositorios de código con Seguridad del código.

Amazon Inspector está disponible en todo el mundo. La disponibilidad específica por región se indica aquí.

Puede activar Amazon Inspector para toda su organización o una cuenta individual con unos pocos pasos en la Consola de administración de AWS. Una vez que se activa, Amazon Inspector detecta automáticamente las instancias de Amazon EC2, las funciones de Lambda y los repositorios de Amazon ECR en marcha e inmediatamente comienza a analizar de forma continua las cargas de trabajo en busca de vulnerabilidades de software y exposición involuntaria a la red. En Seguridad del código, establezca una integración segura con su plataforma de administración de código fuente (SCM) para comenzar a analizar. Si es la primera vez que utiliza Amazon Inspector, hay un periodo de prueba gratuito de 15 días.

Un resultado de Amazon Inspector representa una vulnerabilidad potencial para la seguridad. Por ejemplo, cuando Amazon Inspector detecta vulnerabilidades de software o rutas de red abiertas en sus recursos de computación o código, crea resultados de seguridad.

Sí. Amazon Inspector se integra con AWS Organizations. Puede asignar una cuenta de DA para Amazon Inspector, que actúa como cuenta de administrador principal para Amazon Inspector y puede administrarlo y configurarlo de forma centralizada. La cuenta de DA puede ver y administrar de forma centralizada los resultados de todas las cuentas que forman parte de su organización de AWS.

La cuenta de administración de AWS Organizations puede asignar una cuenta de DA para Amazon Inspector en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

Si es la primera vez que inicia Amazon Inspector, todos los tipos de análisis, entre ellos el análisis de EC2, el análisis de Lambda y el análisis de imágenes de contenedores ECR, están activados de forma predeterminada. Sin embargo, puede desactivar cualquiera o todos ellos en todas las cuentas de su organización. Los usuarios existentes pueden activar las nuevas características en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

No, no necesita un agente para realizar análisis. Para analizar las vulnerabilidades de las instancias de Amazon EC2, puede utilizar AWS Systems Manager Agent (SSM Agent) como solución basada en agentes. Amazon Inspector también ofrece análisis sin agente si no tiene el agente SSM implementado o configurado. Para evaluar la accesibilidad de red de las instancias de Amazon EC2 y el análisis de vulnerabilidades de las imágenes de contenedores o el análisis de vulnerabilidades de las funciones de Lambda, no se requieren agentes. 

Para analizar correctamente las instancias de Amazon EC2 en busca de vulnerabilidades de software, Amazon Inspector requiere que estas instancias se administren mediante AWS Systems Manager y el agente SSM. Consulte los requisitos previos de Systems Manager en la Guía del usuario de AWS Systems Manager para obtener instrucciones para activar y configurar Systems Manager. Para obtener más información sobre las instancias administradas, consulte la sección Instancias administradas en la Guía del usuario de AWS Systems Manager. En los casos en los que no se haya instalado SSM Agent, se pueden analizar mediante un análisis sin agente compatible con el modo híbrido.

Amazon Inspector admite la configuración de reglas de inclusión para seleccionar qué repositorios de ECR se analizan. Las reglas de inclusión pueden crearse y administrarse en la página de configuración del registro de la consola de ECR o mediante las API de ECR. Los repositorios de ECR que coinciden con las reglas de inclusión se configuran para su análisis. El estado del análisis en detalle de los repositorios está disponible en las consolas de ECR y Amazon Inspector.

El panel de cobertura de recursos del panel de control de Amazon Inspector muestra las métricas de las cuentas, las instancias de Amazon EC2, las funciones de Lambda, los repositorios de código y los repositorios de ECR que Amazon Inspector analiza activamente. Cada instancia e imagen tiene un estado de análisis: Analizar o Sin analizar. “Scanning” (Analizando) significa que el recurso se analiza de forma continua y prácticamente en tiempo real. Un estado de Sin analizar podría significar que el análisis inicial aún no se ha realizado, que el sistema operativo no es compatible o que hay algo que impide el análisis. En el caso de Seguridad del código, el estado de análisis Activo o Inactivo representa el estado, mientras que Activo significa que tiene una configuración de análisis configurada para analizar periódicamente el proyecto.

Todos los análisis se realizan automáticamente en función de los eventos. Todas las cargas de trabajo se analizan por primera vez cuando se detectan y, posteriormente, se vuelven a analizar.

• Para instancias de Amazon EC2: En el caso de los análisis basados en agentes SSM, se inician nuevos análisis cuando se instala o desinstala un nuevo paquete de software en una instancia, cuando se publica una nueva CVE y después de actualizar un paquete vulnerable (para confirmar que no existen vulnerabilidades adicionales). En el caso de los análisis sin agentes, los análisis se realizan cada 24 horas.

• En el caso de las imágenes de contenedor de Amazon ECR: se inician nuevos análisis automatizados para imágenes de contenedor que cumplan los requisitos cuando se publica una nueva CVE que afecta a una imagen. Los nuevos análisis automatizados de imágenes de contenedor se basan en las duraciones de los nuevos análisis configuradas para la fecha de inserción y la fecha de último uso de la imagen en la consola de Amazon Inspector o en las API. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada y la imagen se ha extraído dentro de la “Duración del nuevo análisis de la fecha de extracción” configurada, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Las configuraciones de duración de nuevos análisis disponibles para la fecha de último uso de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 90 días o 180 días. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 180 días o de por vida.

• En el caso de las funciones de Lambda: todas las funciones de Lambda nuevas se evalúan inicialmente cuando se detectan y se reevalúan de forma continua cuando hay una actualización de la función de Lambda o se publica una nueva CVE.

• En el caso de los repositorios de código: todos los repositorios de código nuevos se evalúan según los ajustes de configuración predeterminados. Si se configuran análisis periódicos o análisis basados en cambios, los repositorios se analizarán según los desencadenadores configurados. No se activan nuevos análisis automatizados basados en CVE.

Las imágenes de contenedores que se encuentren en los repositorios de Amazon ECR y que se hayan configurado para un análisis continuo se analizan durante el periodo configurado en la consola de Amazon Inspector o en las API. Las configuraciones de duración de nuevos análisis disponibles para la fecha de último uso de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 90 días o 180 días. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 180 días o de por vida.

• Cuando el análisis de Amazon Inspector ECR está activado, Amazon Inspector solo elige imágenes insertadas durante los últimos 14 días para analizarlas, pero sigue analizándolas de manera continua durante el periodo configurado para la fecha de de último uso y de inserción, por ejemplo, 14 días (de forma predeterminada), 30 días, 60 días, 90 días o 180 días. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada Y la imagen tiene una fecha de último uso comprendida dentro del periodo configurado de “Duración del nuevo análisis según el último uso”, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Por ejemplo, al activar el análisis de Amazon Inspector ECR, Amazon Inspector recogerá las imágenes insertadas en los últimos 14 días para analizarlas. Sin embargo, después de la activación, si selecciona la duración de 30 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como de fecha de último uso, Amazon Inspector seguirá analizando las imágenes si se han insertado en los últimos 30 días o si se han usado por última vez en un contenedor en funcionamiento al menos una vez en los últimos 30 días. Si una imagen no se ha insertado o usado por última vez en un contenedor en funcionamiento en los últimos 30 días, Amazon Inspector dejará de supervisarla.

• Todas las imágenes insertadas en ECR tras la activación del análisis de Amazon Inspector ECR se analizan de manera continua durante el periodo configurado en “Duración del nuevo análisis según el último uso” y “Duración del nuevo análisis de la fecha de inserción”. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 90 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de último uso de imágenes son de 14 días (de forma predeterminada), 30 días, 60 días, 90 días o 180 días. La duración del nuevo análisis automatizado se calcula en función de la última fecha de inserción o fecha de último uso de una imagen de contenedor. Por ejemplo, después de activar el análisis de Amazon Inspector ECR, si selecciona la duración de 180 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como para las de último uso, Amazon Inspector seguirá analizando las imágenes si se han insertado en los últimos 180 días o si se han usado por última vez en un contenedor en funcionamiento al menos una vez en los últimos 180 días. Sin embargo, si una imagen no se ha insertado o usado por última vez en un contenedor en funcionamiento en los últimos 180 días, Amazon Inspector dejará de supervisarla.

• Si la imagen se encuentra en el estado La elegibilidad del análisis ha caducado, puede extraerla para que vuelva a estar bajo la supervisión de Amazon Inspector. La imagen se analizará continuamente durante el tiempo del nuevo análisis de la fecha de inserción y fecha de extracción configuradas a partir de la última fecha de extracción.

• En el caso de las instancias de Amazon EC2: sí, se puede excluir una instancia de EC2 del análisis agregando una etiqueta de recurso. <optional>Puede usar la clave 'InspectorEC2Exclusion', y el valor es.

• En el caso de las imágenes de contenedores que se encuentran en Amazon ECR: sí. Aunque puede seleccionar qué repositorios de Amazon ECR están configurados para el escaneo, se escanearán todas las imágenes de un repositorio. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar.

• En el caso de las funciones de Lambda: sí, se puede excluir una función de Lambda del análisis al agregar una etiqueta de recurso. Para el análisis estándar, utilice la clave 'InspectorExclusion' y el valor 'LambdaStandardScanning'. Para analizar un código, utilice la clave 'InspectorCodeExclusion' y el valor 'LambdaCodeScanning'.

• En el caso de la seguridad del código: sí, puede seleccionar qué repositorios de código están configurados para el análisis. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar en las configuraciones de análisis.

En una estructura de varias cuentas, puede activar Amazon Inspector para que evalúe las vulnerabilidades de Lambda de todas sus cuentas dentro de la organización de AWS desde la consola o las API de Amazon Inspector a través de la cuenta de administrador delegado (DA), mientras que otras cuentas de miembro pueden activar Amazon Inspector para su propia cuenta si el equipo de seguridad central aún no lo activó para ellas. Las cuentas que no forman parte de la organización de AWS pueden activar Amazon Inspector para su cuenta individual a través de la consola de Amazon Inspector o las API.

Amazon Inspector controlará y evaluará continuamente solo la versión $LATEST. Los nuevos análisis automatizados continuarán solamente para la última versión, por lo que los nuevos resultados se generarán solo para la última versión. En la consola, podrá ver los resultados de cualquier versión si selecciona la versión en el menú desplegable.

No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.

El cambio de la frecuencia de recopilación de inventario de SSM predeterminado puede repercutir en la continuidad del análisis. Amazon Inspector se basa en el agente SSM para recopilar el inventario de aplicaciones y generar hallazgos. Si se aumenta la duración del inventario de aplicaciones con respecto al valor predeterminado de 30 minutos, se retrasará la detección de cambios en el inventario de aplicaciones y podrían retrasarse los nuevos resultados.

La puntuación de riesgo de Amazon Inspector es un valor sumamente contextualizado que se genera para cada resultado mediante la correlación de la información sobre vulnerabilidades y exposiciones comunes (CVE) con los resultados de alcance de la red, los datos de explotabilidad y las tendencias de las redes sociales. De este modo, le resultará más fácil priorizar los resultados y centrarse en los más críticos y en los recursos vulnerables. Puede ver la forma en que se calculó la puntuación de riesgo de Inspector y cuáles fueron los factores que influyeron en ella en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).

Por ejemplo: Hay una nueva CVE identificada en su instancia de Amazon EC2, que solo puede explotarse de forma remota. Si los análisis continuos de accesibilidad a la red de Amazon Inspector también detectan que no es posible acceder a la instancia desde Internet, entonces se sabrá que es menos probable que se explote la vulnerabilidad. Por lo tanto, Amazon Inspector relaciona los resultados del análisis con la CVE a fin de que la puntuación de riesgo se reduzca y refleje con mayor precisión el impacto de la CVE en esa instancia en particular.

Amazon Inspector le permite suprimir los resultados en función de los criterios personalizados que defina. Puede crear reglas de supresión para los resultados que su organización considere aceptables.

Puede generar informes en diversos formatos (CSV o JSON) con unos pocos pasos en la consola de Amazon Inspector o a través de las API de Amazon Inspector. Puede descargar un informe completo con todos los resultados, o bien generar y descargar un informe personalizado según los filtros de visualización establecidos en la consola.

Puede generar y exportar SBOM para todos los recursos supervisados con Amazon Inspector, en varios formatos (CycloneDX o SPDX), con unos pocos pasos en la consola de Amazon Inspector o mediante las API de Amazon Inspector. Puede descargar un informe completo con SBOM para todos los recursos, o generar y descargar SBOM de forma selectiva para algunos recursos seleccionados en función de los filtros de visualización establecidos.

Los clientes actuales de Amazon Inspector que utilizan una sola cuenta pueden habilitar el análisis sin agentes si visitan la página de administración de cuentas en la consola de Amazon Inspector o mediante las API.

En el caso de los clientes actuales de Amazon Inspector que utilizan AWS Organizations, su administrador delegado debe migrar por completo toda la organización a una solución sin agentes o seguir utilizando exclusivamente la solución basada en agentes de SSM. Puede cambiar la configuración del modo de análisis desde la página de configuración de EC2 de la consola o mediante las API.

Para los nuevos clientes de Amazon Inspector, el modo de análisis híbrido está activado de forma predeterminada cuando habilita el análisis de EC2. En el modo de análisis híbrido, Amazon Inspector confía en SSM Agents para recopilar el inventario de aplicaciones a fin de realizar evaluaciones de vulnerabilidades y recurre automáticamente al análisis sin agentes para las instancias que no tienen agentes de SSM instalados o configurados.

Los clientes actuales de Amazon Inspector que utilizan una sola cuenta pueden habilitar el análisis sin agentes si visitan la página de administración de cuentas en la consola de Amazon Inspector o mediante las API.

En el caso de los clientes actuales de Amazon Inspector que utilizan AWS Organizations, su administrador delegado debe migrar por completo toda la organización a una solución sin agentes o seguir utilizando exclusivamente la solución basada en agentes de SSM. Puede cambiar la configuración del modo de análisis desde la página de configuración de EC2 de la consola o mediante las API.

Para los nuevos clientes de Amazon Inspector, el modo de análisis híbrido está activado de forma predeterminada cuando habilita el análisis de EC2. En el modo de análisis híbrido, Amazon Inspector confía en SSM Agents para recopilar el inventario de aplicaciones a fin de realizar evaluaciones de vulnerabilidades y recurre automáticamente al análisis sin agentes para las instancias que no tienen agentes de SSM instalados o configurados.

Amazon Inspector activará de manera automática un análisis cada 24 horas para las instancias que estén marcadas para su análisis sin agentes. No habrá ningún cambio en el comportamiento de análisis continuo de las instancias marcadas para análisis basados en agentes SSM. 

No, en una configuración de varias cuentas, solo los administradores delegados pueden configurar el modo de análisis para toda la organización.

Los equipos de aplicaciones y plataformas pueden integrar Amazon Inspector en sus procesos de creación mediante complementos de Amazon Inspector especialmente diseñados para diversas herramientas de CI/CD, como Jenkins, AWS Code Pipeline, GitHub Actions y TeamCity. Estos complementos están disponibles en el mercado de cada herramienta de CI/CD correspondiente. Una vez instalado el complemento, puede agregar un paso en la canalización para realizar una evaluación de la imagen del contenedor y tomar medidas, como bloquear la canalización en función de los resultados de la evaluación. Cuando se identifican las vulnerabilidades en la evaluación, se generan resultados de seguridad procesables. Estos resultados incluyen detalles de la vulnerabilidad, recomendaciones de corrección y detalles de explotabilidad. Se devuelven a la herramienta CI/CD en formatos JSON y CSV, que luego pueden traducirse a un panel legible por humanos mediante el complemento Amazon Inspector o pueden ser descargados por los equipos.

No, no necesita habilitar Amazon Inspector para usar esta característica siempre que tenga una cuenta de AWS activa.

Sí. Amazon Inspector utiliza SSM Agent para recopilar el inventario de aplicaciones, que pueden configurarse como puntos de conexión de la nube virtual privada (VPC) de Amazon para evitar el envío de información a través de Internet.

Puede encontrar la lista de los sistemas operativos (SO) que se admiten aquí.

Puede encontrar la lista de paquetes de lenguajes de programación compatibles aquí.

Sí. Las instancias que utilizan NAT son automáticamente compatibles con Amazon Inspector.

Sí. Para obtener más información, consulte Configuración de SSM Agent para utilizar un proxy.

Amazon Inspector se integra a Amazon EventBridge para proporcionar notificaciones de eventos, tales como un nuevo resultado, el cambio de estado de un resultado o la creación de una regla de supresión. Asimismo, Amazon Inspector se integra a AWS CloudTrail para el registro de llamadas. Amazon Inspector se integra con Security Hub para enviar los resultados y obtener una visión integral de toda la organización y los servicios

Sí. Puede poner en marcha Amazon Inspector para realizar evaluaciones específicas y bajo demanda, las cuales establecen una comparación con los puntos de referencia de configuración del CIS en el nivel del sistema operativo para las instancias de Amazon EC2 en toda su organización de AWS.

Sí. Para obtener más información, consulte Amazon Inspector Partners.

Sí. Puede desactivar todos los tipos de análisis (análisis de Amazon EC2, análisis de imágenes de contenedores de Amazon ECR y análisis de funciones de Lambda) al desactivar el servicio de Amazon Inspector, o puede desactivar cada tipo de análisis individualmente para una cuenta.

No. Amazon Inspector no admite el estado de suspensión.

Amazon Inspector proporciona funciones de seguridad de código integrales que ayudan a proteger las aplicaciones antes de que lleguen a la fase de producción. El servicio ofrece tres características clave para garantizar la seguridad de las aplicaciones. Las pruebas estáticas de seguridad de aplicaciones (SAST) analizan el código fuente de la aplicación para identificar posibles vulnerabilidades en el código escrito a medida. El análisis de composición de software (SCA) evalúa las dependencias de terceros para garantizar que las bibliotecas y los paquetes no introduzcan riesgos ocultos. El análisis de infraestructura como código (IaC) valida las definiciones de infraestructura para poder evitar errores de configuración antes de la implementación. Estas capacidades funcionan en conjunto para así poder proporcionar una visión completa de la seguridad de las aplicaciones, desde el código hasta la infraestructura.

Amazon Inspector se integra con GitHub y GitLab para incorporar el análisis de seguridad durante todo el proceso de desarrollo. Puede evaluar la seguridad del código en varias etapas: cuando los desarrolladores realizan cambios en el código mediante solicitudes pull, solicitudes merge o cambios de código push en los repositorios, bajo demanda o mediante revisiones de seguridad programadas. Esta flexibilidad permite a sus equipos implementar un análisis de seguridad adaptado a sus prácticas de desarrollo. Al adaptarse a los flujos de trabajo existentes, Amazon Inspector permite convertir la seguridad en una parte integral del ciclo de vida del desarrollo sin interrumpir la productividad del equipo.

Amazon Inspector admite varias frecuencias de escaneo para analizar sus repositorios de código. Puede optar por escanear periódicamente según un cronograma establecido, ya sea semanalmente en un día determinado de la semana o mensualmente. Además, también puede hacer que se active el análisis siempre que haya cambios en el código, como pull_request o merge_request y push. Los proyectos o repositorios individuales también se pueden analizar bajo demanda.

Amazon Inspector admite una configuración de análisis general y predeterminada. La diferencia entre ambas es que se puede adjuntar automáticamente una configuración de análisis predeterminada a los nuevos proyectos descubiertos. La configuración de análisis predeterminada está integrada en el flujo de trabajo de integración mientras se establece la conexión con su plataforma de administración de código fuente (SCM). Puede omitir la creación de una configuración de análisis predeterminada; siempre puede agregarla más adelante. La configuración de análisis general se aplica únicamente a los proyectos existentes descubiertos en el momento de la creación de la configuración de análisis.