【Amazon Inspector】Lambda Layers の脆弱性を検出して見ました!

2022.12.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも、CX事業本部Delivery部の嶋村です。 re:InventでAmazon InspectorがAWS LambdaとAWS Lambda Layersの脆弱性スキャンに対応しました。 なので、実際にAWS Lambda Layersで脆弱性の検出をして見ました!

検証内容

CVEに「django-mfa3」の0.5.0未満で脆弱性があったので、この内容で脆弱性が検出されるか試して見ました。

今回はマネジメントコンソールから作ってみました。 まずはレイヤーの作成です。djangoをインストールし、ZIP化してアップロードしました。

 

関数の作成をします。ランタイムは「Python 3.9」で作成しました。 作成したら、「コード」の下にあるレイヤーから「レイヤーの追加」でレイヤーを作成します。

レイヤーの追加はARNを使って行いました。

追加ができたら、デプロイをします。

スキャン・再スキャンされるタイミング

  • AWS Lambda デプロイ時
  • AWS Lambda 更新時
  • 新しい脆弱性が CVE に公開された時

検証結果

EC2やECRと同様にダッシュボードにLambda関数が追加されていました。

メニューにも「Lambda関数」が追加されており、今回の脆弱性が検出できました。

内容についても、ちゃんと見ることができました。

さいごに

実は初めてAWS Inspectorを使ったのですが、検出までも3分ほど(ラスベガスでWi-Fiが弱かったのでもっと早いかも?)でわかったのでとてもありがたいサービスだなと思いました。

最後までお読みいただきありがとうございます!