[アップデート] Amazon InspectorでLambda関数のコードに脆弱性が含まれているかをリアルタイムでチェック出来るようになりました!(一般公開) #AWSreInforce

[アップデート] Amazon InspectorでLambda関数のコードに脆弱性が含まれているかをリアルタイムでチェック出来るようになりました!(一般公開) #AWSreInforce

Amazon InspectorでLambda関数のコードに脆弱性が含まれているかをリアルタイムで検知出来るようになりました
Clock Icon2023.06.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

みなさん、Amazon Inspectorは使ってますか?

今回は先日開催されたAWS re:Inforce 2023期間中に発表された、Amazon Inspectorの新機能 Code Scans for AWS Lambda function についてご紹介します。

ざっくりまとめ

  • 概要
    • 機能名は Code Scans for AWS Lambda function
    • ユーザーが所持するLambda関数のコードに脆弱性があるかどうかをリアルタイムにスキャンしてくれる機能
      • 元々InspectorにはLambda関数の標準スキャンという機能があるが、それとは別の機能
    • プレビュー版としては2023年3月1日(JST)に公開されていた
      • 今回はその機能がGAされた
      • プレビュー版では東京リージョンは対象外だったが、GAでは東京リージョンでも利用可能
  • 料金
    • スキャン対象のLambda関数数*スキャン時間での従量課金(東京リージョンの場合、1関数/月 = $0.65)
    • 標準スキャン同様、90日以上変更/実行を行っていないLambda関数はスキャン対象外
    • 特定の関数をスキャン対象から除外することも可能

Code Scans for AWS Lambda function が一般公開(GA)されました

今回GAされた機能は今年の3月にプレビュー版が公開された機能です。

機能の概要としては、その名の通りLambda関数のコードに脆弱性が含まれているかどうかをリアルタイムにスキャンしてくれるというもの。

機能の詳細についてはプレビュー時の下記ブログをご参照ください。

対象リージョン

プレビュー版では利用可能なのは5リージョンだけでしたが、GAにより下記の東京リージョンを含めた10リージョンで利用可能となりました。

  • us-east-1 (バージニア北部)
  • us-east-2 (オハイオ)
  • us-west-2 (オレゴン)
  • ap-southeast-1 (シンガポール)
  • ap-southeast-2 (シドニー)
  • ap-northeast-1 (東京)
  • eu-central-1 (フランクフルト)
  • eu-west-1 (アイルランド)
  • eu-west-2 (ロンドン)
  • eu-north-1 (ストックホルム)

料金

料金の仕様は少し複雑で、スキャン対象のLambda関数数*スキャン時間で課金されます。具体的には、東京リージョンの場合だと1関数/月で $0.65 の課金が発生します。

この時の スキャン時間 とは、Code Scansを有効化している かつ 対象のLambda関数が存在している 時間です。

例えば下記の場合は1ヶ月あたり $1.30 かかることになります。(※Lambda標準スキャンも行う場合、標準スキャンの料金は別途かかります。基本的には標準スキャンもセットで行われるはずです。)

  • Code Scansを先月から有効化している環境
  • スキャン対象は3つの関数(関数A, 関数B, 関数C)
    • 関数Aは今月の1日目から存在している
    • 関数Bは今月の10日目に作成した
    • 関数Cは今月の20日目に作成した
  • 1ヶ月を30日とすると、スキャン時間はそれぞれ
    • 関数Aは30日
    • 関数Bは20日
    • 関数Cは10日
  • 東京リージョンの料金は 1関数/月 = $0.65 なので
    • 0.65×1 + 0.65×2/3 + 0.65×1/3 = $1.30

詳細は下記をご参照ください。

関数をスキャン対象外にする方法

スキャンを行いたくないLambda関数に対しては、対象の関数に下記タグを付与することで意図的にスキャンの対象外とすることが出来るようです。

  • Key: InspectorCodeExclusion
  • Value: LambdaCodeScanning

詳細は下記をご参照ください。

また、元々Inspectorの機能として存在するLambda標準スキャンと同様に、90日間以上変更または実行されていないLambda関数は自動的にスキャンの対象外となります。

まとめ

待望の機能がGAされましたね。

従量課金の仕様が少しややこしいですが、これぐらいの料金であれば個人的には是非有効化しておきたいと思える価格でした。

本記事がどなたかのお役に立てれば幸いです。

以上、べこみんでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.