Domande frequenti su Amazon Inspector

Amazon Inspector è un servizio automatizzato di gestione delle vulnerabilità che analizza continuamente Amazon Elastic Compute Cloud (EC2), le funzioni AWS Lambda e le immagini dei container in Amazon ECR e all'interno di strumenti di integrazione continua e distribuzione continua (CI/CD), quasi in tempo reale per individuare vulnerabilità del software ed esposizione involontaria alla rete.

Amazon Inspector rimuove il sovraccarico operativo associato all'implementazione e alla configurazione di una soluzione di gestione delle vulnerabilità consentendoti di implementare Amazon Inspector su tutti gli account con un solo passaggio. Altri vantaggi inclusi:

• Rilevamento automatizzato e scansione continua che fornisce risultati di vulnerabilità quasi in tempo reale

• Gestione centralizzata, configurazione e visualizzazione dei risultati per tutti gli account delle organizzazioni impostando un account di amministratore delegato (AD)

• Un Amazon Inspector risk score altamente contestualizzato e significativo per ogni esito per aiutarti a impostare priorità di risposta più accurate

• Un pannello di controllo intuitivo di Amazon Inspector per i parametri di copertura, inclusi account, istanze Amazon EC2, funzioni Lambda e immagini di container in Amazon ECR, negli strumenti CI/CD e nei repository di codice all’interno della tua piattaforma di Gestione del codice sorgente (SCM), quasi in tempo reale.

• Massimizza la copertura della valutazione della vulnerabilità tramite la scansione senza interruzioni delle istanze EC2, passando dalla scansione basata su agente o senza agente.

• Gestisci centralmente le distinte base del software (SBOM) per tutte le risorse monitorate. 

• Integrazione con la Centrale di sicurezza AWS e Amazon EventBridge per automatizzare i flussi di lavoro e il routing dei ticket

Puoi disattivare Amazon Inspector Classic semplicemente eliminando tutti i modelli di valutazione nel tuo account. Per accedere ai risultati delle esecuzioni di valutazione esistenti, puoi scaricarli come report o esportarli utilizzando l'API di Amazon Inspector. Per attivare il nuovo Amazon Inspector bastano poche operazioni nella Console di gestione AWS o tramite le nuove API di Amazon Inspector. Puoi trovare i passaggi dettagliati della migrazione nella Guida per l'utente di Amazon Inspector Classic.

Amazon Inspector è stato riprogettato e ricostruito per creare un nuovo servizio di gestione delle vulnerabilità. Ecco i principali miglioramenti rispetto ad Amazon Inspector Classic:

• Massima scalabilità: il nuovo Amazon Inspector è stato creato per la scalabilità e l'ambiente cloud dinamico. Non c'è limite al numero di istanze o immagini che possono essere scansionate alla volta.

• Supporto per le immagini nel container e funzioni Lambda: il nuovo Amazon Inspector esegue anche la scansione delle immagini dei container che si trovano su Amazon ECR e all'interno di strumenti CI/CD e funzioni Lambda alla ricerca di vulnerabilità del software. Anche gli esiti relativi al container vengono inviati alla console Amazon ECR.

• Supporto per la gestione multi-account: il nuovo Amazon Inspector è integrato con AWS Organizations, consentendoti di delegare un account amministratore per Amazon Inspector per la tua organizzazione. Questo account di amministratore delegato (DA) è un account centralizzato che consolida tutti gli esiti e può configurare tutti gli account dei membri.

• Agente AWS Systems Manager: con il nuovo Amazon Inspector, non è più necessario installare e gestire un agente Amazon Inspector autonomo su tutte le istanze Amazon EC2. Il nuovo Amazon Inspector utilizza un agente AWS Systems Manager (Agente SSM) ampiamente implementato, che elimina tale necessità.

• Scansione automatica e continua: il nuovo Amazon Inspector rileva automaticamente tutte le istanze Amazon EC2 avviate di recente, le funzioni Lambda e le immagini di container idonee inviate ad Amazon ECR e le scansiona immediatamente alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Quando si verifica un evento che può introdurre una nuova vulnerabilità, le risorse coinvolte vengono riesaminate automaticamente. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto in un'istanza EC2, l'installazione di una patch e la pubblicazione delle nuove vulnerabilità ed esposizioni comune (CVE) che influiscono sulla risorsa.

• Amazon Inspector risk score: il nuovo Amazon Inspector calcola un punteggio di rischio correlando le informazioni CVE aggiornate con fattori temporali e ambientali come l'accessibilità della rete e le informazioni sulla sfruttabilità di una vulnerabilità per aggiungere contesto e dare priorità agli esiti.

• Copertura della valutazione delle vulnerabilità: il nuovo Amazon Inspector migliora la valutazione delle vulnerabilità scansionando in modo ottimizzato le istanze EC2 e passando dalla scansione basata su agente a quella senza agente.

• Esportazione della distinta base del software (SBOM): il nuovo Amazon Inspector gestisce ed esporta centralmente la Software Bill of Materials (SBOM) per tutte le risorse monitorate. 

• Scansiona i tuoi repository di codice: il nuovo Amazon Inspector, con integrazione nativa a GitHub e GitLab, aiuta a identificare e dare priorità rapidamente alle vulnerabilità di sicurezza e alle configurazioni errate presenti nel codice sorgente dell'applicazione, nelle dipendenze e nella infrastructure as code (IaC).

Sì, è possibile utilizzare entrambi contemporaneamente nello stesso account.

Consulta la pagina dei prezzi di Amazon Inspector per visualizzare tutti i dettagli di prezzo.

Tutti i nuovi account di Amazon Inspector possono beneficiare di una prova gratuita di 15 giorni per valutare il servizio e stimarne il costo. Durante il periodo di prova, tutte le istanze Amazon EC2, le funzioni AWS Lambda e le immagini di container idonee inviate ad Amazon ECR vengono continuamente scansionate gratuitamente. È possibile anche rivedere la spesa stimata nella console di Amazon Inspector. La prova gratuita è estesa anche alla scansione dei repository di codice tramite Sicurezza del codice.

Amazon Inspector è disponibile a livello globale. La disponibilità specifica per regione è indicata qui.

Puoi attivare Amazon Inspector per l'intera organizzazione o per un singolo account con poche operazioni nella Console di gestione AWS. Una volta attivato, Amazon Inspector rileva automaticamente le istanze Amazon EC2 in esecuzione, le funzioni Lambda e i repository Amazon ECR e avvia immediatamente la scansione continua dei carichi di lavoro alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Per la sicurezza del codice, configura un’integrazione sicura con la tua piattaforma di gestione del codice sorgente (SCM, Source Code Management) per avviare le scansioni. Se non conosci Amazon Inspector, è disponibile una prova gratuita di 15 giorni.

Un esito di Amazon Inspector è una potenziale vulnerabilità della sicurezza. Ad esempio, quando Amazon Inspector rileva vulnerabilità del software o apre percorsi di rete alle risorse o al codice di elaborazione, crea esiti di sicurezza.

Sì. Amazon Inspector è integrato con AWS Organizations. Puoi assegnare un account AD per Amazon Inspector, che funge da account amministratore principale per Amazon Inspector ed è in grado di gestirlo e configurarlo centralmente. L'account DA può visualizzare e gestire centralmente gli esiti per tutti gli account che fanno parte della tua organizzazione AWS.

L'account di gestione AWS Organizations può assegnare un account DA per Amazon Inspector nella console di Amazon Inspector o utilizzando le API di Amazon Inspector.

Se avvii Amazon Inspector per la prima volta, tutti i tipi di scansione, ovvero la scansione EC2, la scansione Lambda e la scansione di immagini del container ECR, sono abilitati per impostazione predefinita. Puoi tuttavia disattivare una singola scansione, o più di una, per tutti gli account dell'organizzazione. Gli utenti esistenti possono attivare le nuove funzionalità nella console di Amazon Inspector o utilizzando le API di Amazon Inspector.

No, non è necessario un agente per la scansione. Per la scansione delle vulnerabilità delle istanze Amazon EC2, puoi utilizzare Agente AWS Systems Manager (Agente SSM) per una soluzione basata su agenti. Amazon Inspector offre anche la scansione agentless se l'agente SSM non è distribuito o configurato. Non sono necessari agenti per la valutazione della raggiungibilità della rete delle istanze Amazon EC2, la scansione delle vulnerabilità delle immagini dei container o la scansione delle vulnerabilità delle funzioni Lambda. 

Per eseguire correttamente la scansione delle istanze Amazon EC2 alla ricerca di vulnerabilità software, Amazon Inspector richiede che queste istanze siano gestite da AWS Systems Manager e dall'agente SSM. Consulta i prerequisiti di Systems Manager nella Guida per l'utente di AWS Systems Manager per istruzioni su come attivare e configurare Systems Manager. Per informazioni sulle istanze gestite, consulta la sezione Istanze gestite nella Guida per l'utente di AWS Systems Manager. Per le istanze che non hanno l’agente SSM installato, è possibile eseguire la scansione tramite scansione agentless, con supporto in modalità ibrida.

Amazon Inspector supporta la configurazione delle regole di inclusione per selezionare quali repository ECR vengono scansionati. Le regole di inclusione possono essere create e gestite nella pagina delle impostazioni del registro all'interno della console ECR o utilizzando le API di ECR. I repository ECR che corrispondono alle regole di inclusione sono configurati per la scansione. Lo stato di scansione dettagliato dei repository è disponibile nelle console ECR e Amazon Inspector.

Il pannello Resource Coverage (Copertura delle risorse) nel dashboard di Amazon Inspector mostra i parametri per account, istanze Amazon EC2, funzioni Lambda, repository di codice e repository ECR sottoposti a scansione attiva da parte di Amazon Inspector. Ogni istanza e immagine ha uno stato di scansione: Scansione in corso o Non in scansione. Scansione in corso significa che la risorsa viene continuamente scansionata quasi in tempo reale. Uno stato di Non in scansione potrebbe significare che la scansione iniziale non è stata ancora eseguita, il sistema operativo non è supportato o qualcos'altro sta impedendo la scansione. Per Sicurezza del codice, lo stato della scansione, Attivo o Inattivo, indica la configurazione corrente: Attivo significa che è stata impostata una configurazione di scansione che analizza periodicamente il progetto.

Tutte le scansioni vengono eseguite automaticamente in base agli eventi. Tutti i carichi di lavoro vengono inizialmente scansionati al momento del rilevamento e successivamente scansionati di nuovo.

• Per le istanze Amazon EC2: per le scansioni basate sull'agente SSM, le nuove scansioni vengono avviate quando un nuovo pacchetto software viene installato o disinstallato su un'istanza, quando viene pubblicato un nuovo CVE e dopo l'aggiornamento di un pacchetto vulnerabile (per confermare che non ci siano ulteriori vulnerabilità). Per le scansioni senza agente, vengono eseguite ogni 24 ore.

• Per le immagini dei container Amazon ECR: le nuove scansioni automatiche vengono avviate per le immagini dei container idonee quando viene pubblicato un nuovo CVE che interessa un'immagine. Le scansioni automatiche delle immagini dei container si basano sulle durate di nuova scansione configurate per la data dell'ultimo utilizzo dell’immagine e la data di invio nella console o nelle API di Amazon Inspector. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata e la data dell’ultima scansione in uso dell'immagine è compresa nella «durata di nuova scansione dell’ultima data di utilizzo» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Le configurazioni disponibili della durata di nuova scansione per la data dell’ultimo utilizzo dell’immagine sono 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 90 giorni o 180 giorni. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 180 giorni o Lifetime.

• Per le funzioni Lambda: tutte le nuove funzioni Lambda vengono valutate inizialmente al momento dell'individuazione. In caso di aggiornamento della funzione Lambda o di pubblicazione di un nuovo CVE, le funzioni vengono valutate nuovamente in modo continuo.

• Per i repository di codice: tutti i nuovi repository vengono valutati secondo le impostazioni di configurazione predefinite. Se sono configurate scansioni periodiche e/o scansioni basate sulle modifiche, i repository verranno analizzati in base ai trigger impostati. Non vengono attivate riscansioni automatiche basate su CVE.

Le immagini dei container che risiedono nei repository Amazon ECR configurate per la scansione continua vengono scansionate per la durata configurata nella console Amazon Inspector o nelle API. Le configurazioni disponibili della durata di nuova scansione per la data dell’ultimo utilizzo dell’immagine sono14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 90 giorni o 180 giorni. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 180 giorni o Lifetime.

• Quando la scansione ECR di Amazon Inspector è attivata, Amazon Inspector raccoglie solo le immagini inviate negli ultimi 14 giorni per la scansione, ma le scansiona continuamente per la durata di nuova scansione configurata per l'ultima data di utilizzo e la data di invio, ovvero 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 90 giorni o 180 giorni. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata e la data dell’ultima scansione in uso dell'immagine è compresa nella «durata di nuova scansione dell’ultima data di utilizzo» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Ad esempio, quando si attiva la scansione ECR di Amazon Inspector, raccoglierà le immagini inviate o estratte negli ultimi 14 giorni per la scansione. Tuttavia, dopo l'attivazione, se selezioni la durata della nuova scansione di 30 giorni sia per la data di invio che per la data dell'ultimo utilizzo , Amazon Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 30 giorni o sono state utilizzate l'ultima volta su un container in esecuzione almeno una volta negli ultimi 30 giorni. Se un'immagine non è stata inviata o è stata utilizzata per l'ultima volta su un container in esecuzione negli ultimi 30 giorni, Amazon Inspector interromperà il monitoraggio.

• Tutte le immagini inviate all'ECR dopo l'attivazione della scansione ECR di Amazon Inspector vengono scansionate continuamente per la durata configurata in «Durata di nuova scansione della data di ultimo utilizzo» e «Durata della nuova scansione della data di invio». Le configurazioni della durata di nuova scansione disponibili per la data di invio dell'immagine sono 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 90 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data dell'ultimo utilizzo dell'immagine sono 14 giorni (per impostazione predefinita), 30 giorni, 60 giorni, 90 giorni o 180 giorni. La durata della nuova scansione automatica viene calcolata in base alla data dell'ultimo invio o dell'ultimo utilizzo di un'immagine del container. Ad esempio, dopo aver attivato la scansione ECR di Amazon Inspector, se selezioni la durata della nuova scansione di 180 giorni sia per la data di invio che per le configurazioni della data dell'ultimo utilizzo, Amazon Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 180 giorni o sono state utilizzate l'ultima volta su un container in esecuzione almeno una volta negli ultimi 180 giorni. Tuttavia, se un'immagine non è stata inviata o non è stata utilizzata per l'ultima volta su un container in esecuzione negli ultimi 180 giorni, Amazon Inspector interromperà il monitoraggio.

• Se l'immagine è nello stato "idoneità alla scansione scaduta", puoi estrarla per rieseguire il monitoraggio di Amazon Inspector. L'immagine verrà scansionata continuamente per le durate delle date di invio e di estrazione della nuova scansione configurata a partire dall'ultima data di estrazione.

• Per le istanze Amazon EC2: sì, un'istanza EC2 può essere esclusa dalla scansione aggiungendo un tag di risorsa. È possibile utilizzare la chiave 'InspectorEC2Exclusion' e il valore è <optional>.

• Per le immagini di container che risiedono in Amazon ECR: sì. Sebbene sia possibile selezionare quali archivi Amazon ECR sono configurati per la scansione, verranno scansionate tutte le immagini all'interno di un repository. Puoi creare regole di inclusione per selezionare quali repository devono essere scansionati.

• Per le funzioni Lambda: Sì, una funzione Lambda può essere esclusa dalla scansione aggiungendo un tag di risorse. Per la scansione standard, utilizzare la chiave 'InspectorExclusion' e il valore 'LambdaStandardScanning'. Per la scansione del codice, usa la chiave 'InspectorCodeExclusion' e il valore 'LambdaCodeScanning'.

• Per la sicurezza del codice: sì, è possibile selezionare quali repository di codice configurare per la scansione. È possibile creare regole di inclusione per definire quali repository devono essere sottoposti a scansione all’interno delle configurazioni di scansione.

In caso di struttura multi-account, puoi abilitare le valutazioni delle vulnerabilità di Amazon Inspector per tutti gli account all'interno di AWS Organization dalla console di Amazon Inspector o dalle API tramite l'account di amministratore delegato (AD). Nel caso in cui il team di sicurezza centrale non abbia già provveduto, gli altri account membri possono attivare autonomamente Amazon Inspector sul proprio account. Gli account che non fanno parte di AWS Organization possono attivare Amazon Inspector per il proprio account individuale tramite la console di Amazon Inspector o le API.

Amazon Inspector esegue il monitoraggio e la valutazione continua solo della versione $LATEST. Le nuove scansioni automatiche verranno effettuate solo per la versione più recente, generando i relativi risultati. All'interno della console, puoi selezionare una determinata versione dal menu a discesa per visualizzarne gli esiti.

No. Sono disponibili due opzioni: attivare la sola scansione Lambda standard o abilitare insieme la scansione Lambda standard e la scansione dei codici. La scansione standard Lambda fornisce una protezione di sicurezza fondamentale contro le dipendenze vulnerabili utilizzate nell'applicazione distribuita come funzioni Lambda e livelli di associazione. La scansione del codice Lambda fornisce un valore di sicurezza aggiuntivo scansionando il codice dell'applicazione proprietaria personalizzata all'interno di una funzione Lambda per rilevare vulnerabilità di sicurezza del codice come difetti di iniezione, fughe di dati, crittografia debole o segreti incorporati.

La modifica della frequenza di raccolta dell'inventario SSM di default può avere un impatto sulla natura continua della scansione. Amazon Inspector si affida all'agente SSM per raccogliere l'inventario delle applicazioni al fine di generare risultati. Se la durata dell'inventario dell'applicazione viene aumentata rispetto al valore predefinito di 30 minuti, ciò ritarderà il rilevamento delle modifiche all'inventario dell'applicazione e i nuovi esiti potrebbero essere a loro volta ritardati.

L’Amazon Inspector risk score è un punteggio altamente contestualizzato che viene generato per ogni esito correlando le informazioni sulle vulnerabilità e le esposizioni comuni (CVE) con i risultati di raggiungibilità della rete, i dati di sfruttabilità e le tendenze dei social media. In questo modo è più facile dare la priorità ai risultati e concentrarsi sui risultati più critici e sulle risorse vulnerabili. È possibile vedere come è stato calcolato un Inspector risk score e quali fattori hanno influenzato il punteggio nella scheda Punteggio Inspector nel pannello laterale Dettagli Risultati.

Ad esempio: sull'istanza Amazon EC2 è stato identificato un nuovo CVE, che può essere sfruttato solo in remoto. Se le scansioni costanti sulla raggiungibilità della rete da parte di Amazon Inspector rilevano anche che l'istanza non è raggiungibile da Internet, sa che è meno probabile che la vulnerabilità venga sfruttata. Pertanto, Amazon Inspector correla i risultati della scansione con il CVE per regolare il punteggio di rischio verso il basso, riflettendo in modo più accurato l'impatto del CVE su quella particolare istanza.

Amazon Inspector consente di sopprimere gli esiti in base ai criteri personalizzati che definisci. Puoi creare regole di soppressione per gli esiti considerati accettabili dall'organizzazione.

Puoi generare report in più formati (CSV o JSON) con poche operazioni nella console di Amazon Inspector o tramite le API di Amazon Inspector. Puoi scaricare un rapporto completo con tutti gli esiti oppure generare e scaricare un rapporto personalizzato basato sui filtri di visualizzazione impostati nella console.

Puoi generare ed esportare SBOM per tutte le risorse monitorate con Amazon Inspector, in più formati (CycloneDX o SPDX), con pochi passaggi nella console Amazon Inspector o tramite le API di Amazon Inspector. Puoi scaricare un rapporto completo con SBOM per tutte le risorse o generare e scaricare selettivamente gli SBOM per alcune risorse selezionate in base ai filtri di visualizzazione impostati.

Per i clienti Amazon Inspector esistenti che utilizzano un solo account, puoi abilitare la scansione agentless visitando la pagina di gestione dell'account all'interno della console Amazon Inspector o utilizzando le API.

Per i clienti Amazon Inspector esistenti che utilizzano AWS Organizations, il tuo amministratore delegato deve migrare completamente l'intera organizzazione verso una soluzione senza agenti o continuare a utilizzare esclusivamente la soluzione basata su agenti SSM. È possibile modificare la configurazione della modalità di scansione dalla pagina delle impostazioni EC2 nella console o tramite le API.

Per i nuovi clienti di Amazon Inspector, la modalità di scansione ibrida è attivata di default quando si abilita la scansione delle istanze EC2. Nella modalità di scansione ibrida, Amazon Inspector si affida agli agenti SSM per la raccolta dell'inventario delle applicazioni per eseguire valutazioni delle vulnerabilità e ricorre automaticamente alla scansione agentless per le istanze in cui non sono installati o configurati agenti SSM.

Per i clienti Amazon Inspector esistenti che utilizzano un solo account, puoi abilitare la scansione agentless (anteprima) visitando la pagina di gestione dell'account all'interno della console Amazon Inspector o utilizzando le API.

Per i clienti Amazon Inspector esistenti che utilizzano AWS Organizations, il tuo amministratore delegato deve migrare completamente l'intera organizzazione verso una soluzione senza agenti o continuare a utilizzare esclusivamente la soluzione basata su agenti SSM. È possibile modificare la configurazione della modalità di scansione dalla pagina delle impostazioni EC2 nella console o tramite le API.

Per i nuovi clienti Amazon Inspector, la modalità di scansione ibrida è attivata per impostazione predefinita quando si abilita la scansione EC2. Nella modalità di scansione ibrida, Amazon Inspector si affida agli agenti SSM per la raccolta dell'inventario delle applicazioni per eseguire valutazioni delle vulnerabilità e ricorre automaticamente alla scansione agentless per le istanze in cui non sono installati o configurati agenti SSM.

Amazon Inspector attiverà automaticamente una scansione ogni 24 ore per le istanze contrassegnate per la scansione agentless. Non verrà apportata alcuna modifica al comportamento di scansione continua per le istanze contrassegnate per le scansioni basate su agenti SSM. 

No, in una configurazione con più account, solo gli amministratori delegati possono configurare la configurazione della modalità di scansione per l'intera organizzazione.

I team di applicazioni e piattaforme possono integrare Amazon Inspector nelle loro pipeline di compilazione utilizzando plug-in Amazon Inspector appositamente progettati per vari strumenti CI/CD, come Jenkins, AWS Code Pipeline, GitHub Actions e TeamCity. Questi plug-in sono disponibili nel marketplace di ogni rispettivo strumento CI/CD. Una volta installato il plug-in, puoi aggiungere un passaggio nella pipeline per eseguire una valutazione dell'immagine del container e intraprendere azioni, come bloccare la pipeline in base ai risultati della valutazione. Quando nella valutazione vengono identificate delle vulnerabilità, vengono generati risultati di sicurezza utilizzabili. Questi risultati includono dettagli sulle vulnerabilità, suggerimenti per la correzione e dettagli sulla sfruttabilità. Vengono restituiti allo strumento CI/CD nei formati JSON e CSV, che possono quindi essere tradotti in un pannello di controllo leggibile dall'uomo dal plug-in Amazon Inspector o possono essere scaricati dai team.

No, non è necessario abilitare Amazon Inspector per utilizzare questa funzionalità purché si disponga di un account AWS attivo.

Sì. Amazon Inspector utilizza l'agente SSM per raccogliere l'inventario delle applicazioni. Tale agente può essere configurato come endpoint del cloud privato virtuale (VPC) di Amazon per evitare di inviare informazioni su Internet.

È possibile trovare l'elenco dei sistemi operativi (SO) supportati qui.

Puoi trovare l'elenco dei pacchetti di linguaggi di programmazione supportati qui.

Sì. Le istanze che utilizzano NAT sono supportate automaticamente da Amazon Inspector.

Sì. Per ulteriori informazioni, consultare la sezione come configurare Agente SSM per l'utilizzo di un proxy.

Amazon Inspector si integra con Amazon EventBridge per fornire notifiche per eventi come un nuovo risultato, il cambio di stato di un risultato o la creazione di una regola di soppressione. Amazon Inspector si integra anche con AWS CloudTrail per la registrazione delle chiamate. Amazon Inspector si integra con Security Hub al fine di inviare i risultati per una visione completa dell'organizzazione e dei servizi

Sì. Puoi eseguire Amazon Inspector per effettuare valutazioni mirate e on-demand confrontandole ai benchmark di configurazione CIS a livello di sistema operativo per le istanze Amazon EC2 in tutta la tua organizzazione AWS.

Sì. Per ulteriori informazioni, consulta la sezione Partner di Amazon Inspector.

Sì. Puoi disattivare tutti i tipi di scansione (scansione Amazon EC2, scansione di immagini del container Amazon ECR e scansione di funzioni Lambda) disabilitando il servizio Amazon Inspector oppure puoi disattivare ciascun tipo di scansione singolarmente per un account.

No, Amazon Inspector non supporta uno stato sospeso.

Amazon Inspector offre funzionalità complete di sicurezza del codice che aiutano a proteggere le applicazioni prima della messa in produzione. Il servizio mette a disposizione tre funzionalità chiave per la sicurezza delle applicazioni: Test statico di sicurezza delle applicazioni (SAST, Static Application Security Testing) analizza il codice sorgente dell’applicazione per individuare potenziali vulnerabilità nel codice sviluppato internamente. L'analisi della composizione del software (SCA, Software Composition Analysis) esamina le dipendenze di terze parti per verificare che librerie e pacchetti non introducano rischi nascosti. La scansione Infrastructure as code (IaC) convalida le definizioni dell’infrastruttura per prevenire configurazioni errate prima della distribuzione. Queste funzionalità operano in sinergia per offrire una visione completa della sicurezza delle applicazioni, dal codice all’infrastruttura.

Amazon Inspector si integra con GitHub e GitLab per contribuire a integrare la scansione di sicurezza lungo tutto il processo di sviluppo. È possibile valutare la sicurezza del codice in diverse fasi: quando gli sviluppatori apportano modifiche tramite pull request, merge request o push nei repository, su richiesta (on-demand) oppure tramite revisioni di sicurezza pianificate. Questa flessibilità consente ai team di implementare controlli di sicurezza in linea con le proprie pratiche di sviluppo. Integrandosi nei flussi di lavoro esistenti, Amazon Inspector rende la sicurezza una componente strutturale del ciclo di vita del software, senza compromettere la produttività dei team.

Amazon Inspector supporta diverse frequenze di scansione per analizzare i repository di codice. Puoi scegliere di eseguire scansioni periodiche secondo un programma prestabilito, settimanale (in un giorno specifico) o mensile. Inoltre, è possibile abilitare la scansione al momento di modifiche del codice, come pull request, merge request o push. Singoli progetti o repository possono essere sottoposti a scansione anche su richiesta (on-demand).

Amazon Inspector supporta una configurazione di scansione predefinita e una configurazione di scansione generale. La differenza principale è che una configurazione di scansione predefinita può essere assegnata automaticamente ai nuovi progetti individuati. Questa configurazione è integrata nel flusso di lavoro di integrazione quando si stabilisce la connessione con la piattaforma di Gestione di codice sorgente (SCM, Source Code Management). È possibile saltare la creazione di una configurazione predefinita e aggiungerla in seguito in qualsiasi momento. Una configurazione di scansione generale, invece, viene applicata solo ai progetti esistenti al momento della creazione della configurazione stessa.