Вопросы и ответы по Amazon Inspector

Amazon Inspector – это автоматизированный сервис для управления уязвимостями, который постоянно проверяет Amazon Elastic Compute Cloud (EC2), функции AWS Lambda, а также образы контейнеров в Amazon ECR и в инструментах непрерывной интеграции и доставки в режиме, близком к реальному времени, на наличие программных и сетевых уязвимостей.

Amazon Inspector избавляет от операционных затрат, связанных с развертыванием и настройкой решений для управления уязвимостями, поскольку Amazon Inspector можно развернуть одним действием сразу в нескольких аккаунтах. Дополнительные преимущества

• Автоматизированное развертывание и постоянное сканирование, позволяющее получать отчеты почти в реальном времени

• Централизованные средства для администрирования, настройки и просмотра отчетов по всем аккаунтам вашей организации благодаря использованию аккаунта уполномоченного администратора

• Оценки риска в Amazon Inspector с высокими уровнями учета контекста и значимости для всех полученных данных помогут вам лучше распределить приоритеты команд реагирования

• Интуитивно понятная информационная панель Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов Amazon EC2, функций Lambda, образов контейнеров в Amazon ECR и в инструментах непрерывной интеграции и доставки, а также для репозиториев кода на платформе управления исходным кодом (SCM) в режиме, близком к реальному времени.

• Обеспечьте максимально полную оценку уязвимостей c интегрированным сканированием инстансов EC2 и возможностью переключаться между сканированием с использованием агента или без него.

• Централизованное управление экспортом спецификаций программного обеспечения (Software Bill of Materials, SBOM) для всех контролируемых ресурсов. 

• Интеграция с AWS Security Hub и Amazon EventBridge для автоматизации рабочих процессов и перенаправления задач

Вы можете просто отключить Amazon Inspector Classic, удалив все шаблоны оценок в аккаунте. Чтобы получить данные по уже выполненным проверкам, их можно скачать в виде отчетов или экспортировать через Amazon Inspector API. Новый Amazon Inspector можно легко активировать, выполнив всего пару шагов в Консоли управления AWS или воспользовавшись API нового Amazon Inspector. Подробное описание процесса миграции приводится в Руководстве пользователя по Amazon Inspector Classic.

Для Amazon Inspector была разработана новая архитектура. По сути, теперь он представляет собой новый сервис для управления уязвимостями. Ниже описаны несколько основных улучшений по сравнению с Amazon Inspector Classic.

• Создан для масштабирования. Новый сервис Amazon Inspector создан с учетом больших масштабов и динамичности облачной среды. Здесь нет ограничений на количество одновременно сканируемых инстансов или образов.

• Поддержка образов контейнеров и функций Lambda. Новый сервис Amazon Inspector умеет сканировать образы контейнеров в Amazon ECR и в инструментах непрерывной интеграции и доставки, а также функции Lambda на наличие программных уязвимостей. Полученные данные о контейнерах также публикуются в консоли Amazon ECR.

• Поддержка управления несколькими аккаунтами. Новый сервис Amazon Inspector интегрируется с Организациями AWS, что позволяет предоставить Amazon Inspector аккаунт с правами уполномоченного администратора в вашей организации. Аккаунт уполномоченного администратора становится централизованным средством для объединения всех отчетов и настройки всех аккаунтов участников.

• Агент менеджера систем AWS. В новом сервисе Amazon Inspector уже не нужно устанавливать и поддерживать отдельный агент Amazon Inspector на каждом инстансе Amazon EC2. В новой версии Amazon Inspector вместо него уже используется повсеместно развернутый Агент менеджера систем AWS (агент SSM).

• Постоянное и автоматизированное сканирование. Новый сервис Amazon Inspector автоматически обнаруживает все новые инстансы Amazon EC2, функции Lambda и поддерживаемые образы контейнеров в Amazon ECR и немедленно запускает для них сканирование на наличие программных и сетевых уязвимостей. При возникновении события, которое может приводить к новым уязвимостям, все затронутые ресурсы автоматически сканируются снова. Таким событием, которое требует повторного сканирования ресурса, может быть установка нового пакета в инстансе EC2, установка исправления и публикация новых сведений о распространенных уязвимостях, которые могут затронуть этот ресурс.

• Оценка риска в Amazon Inspector. Новый сервис Amazon Inspector вычисляет оценку риска, сопоставляя наиболее актуальную информацию о распространенных уязвимостях и рисках с факторами времени и среды, например с информацией о доступности сети и наличии возможностей для использования уязвимостей, чтобы предоставить сведения о контексте и помочь распределить полученные данные по приоритетам.

• Покрытие проверки на наличие уязвимостей. Новый сервис Amazon Inspector лучше отыскивает уязвимости за счет интегрированного сканирования инстансов EC2 и возможности переключаться между сканированием с использованием агента и без него.

• Экспорт спецификаций программного обеспечения. Новый сервис Amazon Inspector централизованно экспортирует SBOM для всех отслеживаемых ресурсов и управляет ими. 

• Сканирование репозиториев кода. Новый сервис Amazon Inspector с встроенной интеграцией с GitHub и GitLab помогает быстро выявлять и определять приоритетность уязвимостей и ошибок конфигурации в исходном коде приложений, зависимостях и инфраструктуре как коде (IaC).

Да, можно использовать оба решения одновременно в одном аккаунте.

Подробные сведения см. на странице цен на Amazon Inspector.

Все аккаунты, в которых еще не использовался сервис Amazon Inspector, имеют право получить бесплатный 15-дневный пробный период для оценки возможностей и стоимости этой службы. В этот пробный период будут бесплатно постоянно сканироваться все поддерживаемые инстансы Amazon EC2, функции AWS Lambda и образы контейнеров, отправленные в Amazon ECR. Также вы можете узнать остаток пробного периода на консоли Amazon Inspector. В бесплатной пробной версии также появилась возможность сканирования репозиториев кода с помощью Code Security.

Amazon Inspector доступен повсеместно. Сведения о доступности по конкретным регионам приводятся здесь.

Вы можете активировать Amazon Inspector для всей организации сразу или для отдельных аккаунтов, выполнив всего несколько шагов в Консоли управления AWS. Немедленно после активации Amazon Inspector начинает обнаруживать инстансы Amazon EC2, функции Lambda и репозитории Amazon ECR и выполнять для них постоянное сканирование рабочих нагрузок для поиска программных и сетевых уязвимостей. Чтобы начать сканирование кода, создайте безопасную интеграцию с платформой управления исходным кодом (SCM). Если вы еще не работали с Amazon Inspector, для вас доступен бесплатный 15-дневный пробный период.

Отчет Amazon Inspector содержит сведения об обнаруженной потенциальной уязвимости. Например, Amazon Inspector создает отчет о безопасности, если обнаруживает программные уязвимости или открытые сетевые пути к вычислительным ресурсам или коду.

Да. Amazon Inspector имеет встроенную интеграцию с AWS Organizations. Вы можете назначить для Amazon Inspector аккаунт уполномоченного администратора, который будет использоваться как основной административный аккаунт Amazon Inspector, и можете централизовано управлять им и настраивать его. Аккаунт уполномоченного администратора позволяет централизованно просматривать отчеты по всем аккаунтам, входящим в организацию AWS, и управлять ими.

Управляющий аккаунт Организаций AWS может назначить для Amazon Inspector аккаунт уполномоченного администратора с помощью консоли Amazon Inspector или через API Amazon Inspector.

Если вы начинаете использовать Amazon Inspector впервые, все типы сканирования, включая сканирование для EC2, для функций Lambda и для образов контейнеров, по умолчанию активированы. Однако вы можете отключить любое или все эти действия во всех аккаунтах своей организации. Существующие пользователи могут активировать новые функции на консоли Amazon Inspector или с помощью API для Amazon Inspector.

Нет, вам не нужен агент, чтобы выполнять сканирование. Для поиска уязвимостей на инстансах Amazon EC2 можно использовать Агент менеджера систем AWS (агент SSM) в качестве решения на основе агентов. Amazon Inspector также поддерживает сканирование без использования агента, если агент SSM еще не развернут или не настроен. Для проверки сетевой доступности инстансов Amazon EC2 и образов контейнеров или функций Lambda на наличие уязвимостей агенты не требуются. 

Чтобы сервис Amazon Inspector мог успешно сканировать инстансы Amazon EC2 на наличие программных уязвимостей, все инстансы должны работать под управлением Менеджера систем AWS и Агента SSM. Инструкции по активации и настройке Менеджера систем AWS вы найдете на странице основных требований для Менеджера систем в руководстве пользователя по Менеджеру систем AWS. Сведения об управляемых инстансах есть в разделе «Управляемые инстансы» руководства пользователя по Менеджеру систем AWS. Если агент SSM не установлен, инстансы можно сканировать с помощью безагентного сканирования с поддержкой гибридного режима.

Amazon Inspector поддерживает настройку правил включения, что позволяет выбрать конкретные репозитории ECR для сканирования. Правила включения можно создавать и администрировать на панели параметров реестра на консоли ECR или с помощью API ECR. Для сканирования отбираются все репозитории ECR, которые соответствуют указанному правилу включения. Подробные сведения о состоянии сканирования репозиториев можно найти в консолях ECR и Amazon Inspector.

На панели «Покрытие ресурсов» панели управления Amazon Inspector представлены метрики покрытия для аккаунтов, инстансов Amazon EC2, функций Lambda, репозиториев кода и ECR, в которых Amazon Inspector активно выполняет сканирование. Для каждого инстанса и образа здесь указано состояние сканирования: «Сканируется» или «Не сканируется». Состояние «Сканируется» означает, что ресурс постоянно отслеживается почти в режиме реального времени. Состояние «Не сканируется» может обозначать одно из следующего: еще не было выполнено первичное сканирование, не поддерживается используемая ОС или сканирование невозможно по другой причине. В Code Security отображаются два статуса сканирования («Активно» или «Неактивно»): статус «Активно» означает, что настроена конфигурация сканирования для периодической проверки проекта.

Все сканирования выполняются автоматически по наступлении определенных событий. Все рабочие нагрузки изначально сканируются при обнаружении, а затем регулярно сканируются повторно.

• Для инстансов Amazon EC2: во время сканирования на основе SSM агентов повторное сканирование выполняется при установке или удалении пакета программного обеспечения, при публикации новых сведений о распространенных уязвимостях и при обновлении уязвимого пакета (для проверки возможных дополнительных уязвимостей). При безагентном сканировании оно выполняется каждые 24 часа.

• Для образов контейнеров Amazon ECR: автоматизированное повторное сканирование выполняется для поддерживаемых образов контейнеров при публикации новых сведений о CVE, которые затрагивают этот образ. Автоматическое повторное сканирование образов контейнеров основано на длительности повторного сканирования, заданной как для даты последнего использования, так и для даты загрузки образов в консоли Amazon Inspector или API. Если дата загрузки образа меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» и образ последний раз использовался в течение заданного значения для параметра «Продолжительность повторного сканирования для даты последнего использования», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Доступные конфигурации длительности повторного сканирования для даты последнего использования образов: 14 дней (по умолчанию), 30 дней, 60 дней, 90 дней или 180 дней. Конфигурации длительности повторного сканирования для даты извлечения образов: 14 дней (по умолчанию), 30 дней, 60 дней, 180 дней или весь срок службы.

• Для функций Lambda: все новые функции Lambda изначально проверяются при обнаружении, а затем непрерывно повторно проверяются, когда появляется обновление функции Lambda или публикуется новый CVE.

• Для репозиториев кода: все новые репозитории кода оцениваются в соответствии со стандартными настройками конфигурации. Если настроено периодическое сканирование и/или сканирование на основе изменений, репозитории будут сканироваться в соответствии с настроенными триггерами. Автоматическое повторное сканирование на основе CVE не запускается.

Размещенные в репозиториях Amazon ECR образы контейнеров, для которых настроено постоянное сканирование, проверяются в течение времени, заданного в консоли Amazon Inspector или API. Доступные конфигурации длительности повторного сканирования для даты последнего использования образов: 14 дней (по умолчанию), 30 дней, 60 дней, 90 дней или 180 дней. Конфигурации длительности повторного сканирования для даты извлечения образов: 14 дней (по умолчанию), 30 дней, 60 дней, 180 дней или весь срок службы.

• После активации сканирования Amazon Inspector ECR Amazon Inspector собирает для сканирования только образы, загруженные за последние 14 дней, но непрерывно сканирует их в течение периода повторного сканирования, заданного для даты последнего использования и даты загрузки: 14 дней (по умолчанию), 30 дней, 60 дней, 90 дней или 180 дней. Если дата загрузки образа меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» И образ последний раз использовался в течение заданного значения для параметра «Продолжительность повторного сканирования для даты последнего использования», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Например, при активации сканирования Amazon Inspector ECR Amazon Inspector будет принимать для сканирования образы, отправленные за последние 14 дней. Однако после активации, если вы выберете длительность повторного сканирования 30 дней для конфигураций с датой загрузки и датой последнего использования, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 30 дней или использовались в запущенном контейнере по крайней мере один раз за последние 30 дней. Если образ не загружался или не использовался в запущенном контейнере в течение последних 30 дней, Amazon Inspector прекратит его мониторинг.

• Все образы, загруженные в ECR после активации сканирования Amazon Inspector ECR, непрерывно сканируются в течение заданного периода времени в параметрах «Продолжительность повторного сканирования для даты последнего использования» и «Продолжительность повторного сканирования для даты загрузки». Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 14 дней (по умолчанию), 30 дней, 60 дней, 90 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты последнего использования образов: 14 дней (по умолчанию), 30 дней, 60 дней, 90 дней или 180 дней. Продолжительность автоматического повторного сканирования рассчитывается на основе даты последней загрузки или использования образа контейнера. Например, после активации сканирования Amazon Inspector ECR, если вы выберете продолжительность повторного сканирования 180 дней для конфигураций с датой загрузки и датой последнего использования, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или использовались в запущенном контейнере по крайней мере один раз за последние 180 дней. Однако если образ не загружался или не использовался в запущенном контейнере в течение последних 180 дней, Amazon Inspector прекратит его мониторинг.

• Если образ находится в состоянии «Срок действия для сканирования истек», вы можете извлечь этот образ, чтобы вернуть его под контроль Amazon Inspector. Образ будет непрерывно сканироваться в течение продолжительности повторного сканирования для даты загрузки и даты извлечения, заданных с даты последнего извлечения.

• Для инстансов Amazon EC2: да, инстанс EC2 можно исключить из сканирования, добавив тег ресурса. Можно использовать ключ InspectorEc2Exclusion и значение <optional>.

• Для образов контейнеров, размещенных в Amazon ECR: да. Вы можете выбрать конкретные репозитории Amazon ECR, для которых будет выполняться сканирование, но не можете исключить отдельные образы в репозиториях. Для выбора сканируемых репозиториев нужно настроить правила включения.

• Для функций Lambda: да, функцию Lambda можно исключить из сканирования, добавив тег ресурса. Для стандартного сканирования используйте ключ InspectorExclusion и значение LambdaStandardScanning. Для сканирования кода используйте ключ InspectorCodeExclusion и значение LambdaCodeScanning.

• Для Code Security: да, вы можете выбрать, какие репозитории кода настроены для сканирования. Вы можете создать правила включения, чтобы выбрать, какие репозитории следует сканировать в своих конфигурациях.

В структуре с несколькими аккаунтами вы можете активировать Amazon Inspector для оценки уязвимостей функций Lambda для всех своих аккаунтов внутри Организации AWS с помощью консоли или API для Amazon Inspector через аккаунт уполномоченного администратора (DA). В то же время другие аккаунты участников могут активировать Amazon Inspector для своего аккаунта, если основная группа по вопросам безопасности еще не активировала этот сервис для них. Аккаунты, которые не входят в Организацию AWS, могут активировать Amazon Inspector отдельно для своего аккаунта с помощью консоли или API для Amazon Inspector.

Amazon Inspector будет непрерывно контролировать и оценивать только последнюю ($LATEST) версию. Автоматические повторные сканированию будут выполняться только для последней версии, и соответственно новые отчеты будут генерироваться только для нее. В консоли вы сможете видеть отчеты для любой версии, выбрав из раскрывающегося списка необходимую.

Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительный уровень безопасности благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.

Изменение стандартной частоты сбора списков SSM может повлиять на актуальность данных сканирования. Amazon Inspector при создании своих отчетов полагается на список приложений, собранный агентами SSM Agent. Если список приложений будет составляться реже, чем указанный по умолчанию интервал в 30 минут, это замедлит обнаружение изменений в списке приложений, а следовательно и подготовку отчетов сканирования.

Оценка риска Amazon Inspector составляется на основе подробных данных о контексте каждого отчета, и для ее получения сведения о распространенных уязвимостях сопоставляются с информацией о сетевой доступности, наличии эксплойтов и тенденциях в социальных сетях. Эта оценка поможет вам правильно распределить приоритеты между отчетами, уделяя основное внимание наиболее важным отчетам и самым уязвимым ресурсам. Вы можете посмотреть, как и по каким факторам Inspector выполнял расчет оценки риска, открыв вкладку «Оценка Inspector» на боковой панели «Подробности отчетов».

Предположим, что для вашего инстанса Amazon EC2 обнаружена новая уязвимость, для которой эксплойт возможен только через удаленное подключение. Если Amazon Inspector на основании постоянных сканирований сетевой доступности определит, что этот инстанс недоступен из Интернета, он будет считать риск эксплойта для такой уязвимости минимальной. Таким образом, Amazon Inspector сопоставляет результаты сканирования с данными о распространенных уязвимостях и снижает риск, что более точно отражает реальное влияние конкретной уязвимости на конкретный инстанс.

Amazon Inspector позволяет подавлять определенные отчеты, определяя для этого пользовательские критерии. Вы можете создать правила подавления для отчетов о таких уязвимостях, которые считаются допустимыми для вашей организации.

Вы можете экспортировать отчеты в нескольких форматах (CSV или JSON), выполнив всего несколько шагов в консоли Amazon Inspector или применив различные API Amazon Inspector. Вы можете загрузить отчет со всеми полученными данными или отобрать интересующие, настроив для этого фильтры в консоли.

Можно создавать и экспортировать SBOM для всех ресурсов, отслеживаемых с помощью Amazon Inspector, в нескольких форматах (CycloneDx или SPDX), выполнив несколько шагов в консоли Amazon Inspector или воспользовавшись API Amazon Inspector. Вы можете загрузить полный отчет с SBOM для всех ресурсов или выборочно создать и загрузить SBOM для нескольких выбранных ресурсов на основе установленных фильтров просмотра.

Текущие клиенты Amazon Inspector, у которых один аккаунт, могут включить безагентное сканирование на странице управления аккаунтом в консоли Amazon Inspector или с помощью API.

Если вы являетесь текущим клиентом Amazon Inspector и используете Организации AWS, вашему делегированному администратору необходимо либо полностью перевести организацию на безагентное решение, либо продолжить использовать исключительно решение на основе агента SSM. Конфигурацию режима сканирования можно изменить на странице настроек EC2 в консоли или с помощью API.

У новых клиентов Amazon Inspector гибридный режим сканирования активируется по умолчанию после включения проверок EC2. В гибридном режиме сканирования Amazon Inspector использует агенты SSM, чтобы получать списки приложений для проверки на наличие уязвимостей. Этот сервис автоматически переключается на безагентное сканирование, когда нужно проверить инстансы, для которых не установлены или не настроены агенты SSM.

Текущие клиенты Amazon Inspector, у которых один аккаунт, могут включить безагентное сканирование на странице управления аккаунтом в консоли Amazon Inspector или с помощью API.

Если вы являетесь текущим клиентом Amazon Inspector и используете Организации AWS, вашему делегированному администратору необходимо либо полностью перевести организацию на безагентное решение, либо продолжить использовать исключительно решение на основе агента SSM. Конфигурацию режима сканирования можно изменить на странице настроек EC2 в консоли или с помощью API.

У новых клиентов Amazon Inspector гибридный режим сканирования активируется по умолчанию после включения проверок EC2. В гибридном режиме сканирования Amazon Inspector использует агенты SSM, чтобы получать списки приложений для проверки на наличие уязвимостей. Этот сервис автоматически переключается на безагентное сканирование, когда нужно проверить инстансы, для которых не установлены или не настроены агенты SSM.

Amazon Inspector автоматически запускает проверку инстансов, отмеченных для безагентного сканирования, каждые 24 часа. Непрерывная проверка инстансов, отмеченных для сканирования с использованием агента SSM, будет выполняться, как и прежде. 

Нет. Если у вас несколько аккаунтов, конфигурацию режима сканирования для всей организации могут настроить только делегированные администраторы.

Группы разработчиков приложений и платформ могут внедрить Amazon Inspector в свои конвейеры сборки с помощью специальных плагинов Amazon Inspector, разработанных для различных инструментов непрерывной интеграции и доставки, таких как Jenkins, AWS Code Pipeline, GitHub Actions и TeamCity. Эти плагины доступны на торговой площадке каждого соответствующего инструмента непрерывной интеграции и доставки. После установки плагина можно добавить в конвейер шаг для проверки образа контейнера и принятия мер, таких как блокирование конвейера на основе результатов проверки. Если в ходе проверки будут выявлены уязвимости, сгенерируются данные о действиях, которые помогут обеспечить безопасность. Полученные данные будут включать информацию об уязвимостях, рекомендации по их устранению и сведения о наличии возможностей для их использования. Они направляются в инструмент непрерывной интеграции и доставки в форматах JSON и CSV, которые затем можно отобразить в виде читабельной для человека информационной панели с помощью плагина Amazon Inspector. Кроме того, команды могут их загрузить.

Нет. Если у вас есть активный аккаунт AWS, включать Amazon Inspector, чтобы использовать эту функцию, не нужно.

Да. Amazon Inspector использует для сборки данных о списке приложений агент SSM, который можно настроить в формате адресов Amazon Virtual Private Cloud (VPC), чтобы не передавать данные через общедоступный Интернет.

Список поддерживаемых операционных систем (ОС) приводится здесь.

Список поддерживаемых пакетов с языками программирования приводится здесь.

Да. Amazon Inspector имеет встроенную поддержку инстансов, на которых используется технология NAT.

Да. Дополнительные сведения о том, как настроить агент SSM для использования прокси-сервера, см. в этой статье.

Amazon Inspector интегрируется с Amazon EventBridge для предоставления оповещений о таких событиях, как новый отчет, изменение состояния отчета или создание правила подавления. Также Amazon Inspector интегрируется с AWS CloudTrail для ведения журнала вызовов. Amazon Inspector интегрируется с Security Hub, чтобы отправлять комплексные данные для анализа состояния безопасности в организации и ее сервисах

Да. Amazon Inspector можно использовать для целенаправленной оценки и оценки по запросу инстансов Amazon EC2 в вашей организации AWS на основе эталонных тестов конфигурации CIS на уровне ОС.

Да. Дополнительные сведения см. на странице о партнерах Amazon Inspector.

Да. Вы можете отключить все типы сканирований (сканирование Amazon EC2, сканирование образов контейнеров Amazon ECR и сканирование функций Lambda), отключив сервис Amazon Inspector, или вручную отключить любой из типов сканирования для конкретного аккаунта.

Нет. Amazon Inspector не поддерживает состояние приостановки.

Amazon Inspector предоставляет комплексные возможности защиты кода, которые помогают обезопасить приложения до их запуска в рабочей среде. В сервисе доступны три ключевые функции для безопасности приложений. В рамках статического тестирования безопасности приложений (Static Application Security Testing, SAST) выполняется анализ исходного кода приложения для выявления потенциальных уязвимостей в написанном коде. Анализ состава программного обеспечения (Software Composition Analysis, SCA) позволяет оценить зависимости от сторонних разработчиков, чтобы убедиться в отсутствии скрытых рисков в библиотеках и пакетах. В рамках сканирования инфраструктуры как кода (IaC) проверяются ее определения, чтобы предотвратить неправильные конфигурации перед развертыванием. Вместе эти возможности позволяют получить полное представление о безопасности приложений, начиная с кода и заканчивая инфраструктурой.

Amazon Inspector интегрируется с GitHub и GitLab, что позволяет внедрить сканирование безопасности в процесс разработки. Оценивать безопасность кода можно на нескольких этапах: когда разработчики вносят изменения в репозитории кода с помощью запросов pull, merge или push, по запросу, а также в рамках запланированных проверок безопасности. Такой гибкий подход позволяет командам внедрять сканирование безопасности в соответствии со своими практиками разработки. Адаптируясь к существующим рабочим процессам, Amazon Inspector помогает сделать безопасность неотъемлемой частью жизненного цикла разработки без снижения производительности команды.

В Amazon Inspector можно выполнять сканирование репозиториев кода с разной периодичностью. Вы можете выбрать регулярное сканирование по установленному расписанию: еженедельно в определенный день или ежемесячно. Кроме того, вы также можете включить сканирование при изменении кода, например по запросу pull_request или merge_request, а также push. Отдельные проекты или репозитории можно также сканировать по запросу.   

Amazon Inspector поддерживает стандартную и общую конфигурации сканирования. Разница между ними заключается в том, что стандартная конфигурация может автоматически применяться к новым обнаруженным проектам. Она встраивается в рабочий процесс интеграции при подключении к платформе управления исходным кодом (SCM). Вы можете пропустить этап создания стандартной конфигурации и добавить ее позже. Общая конфигурация применяется только к существующим проектам, обнаруженным во время создания конфигурации сканирования.