Amazon Inspector のよくある質問

Amazon Inspector は、Amazon ECR や継続的インテグレーション/継続的デリバリー (CI/CD) ツール内の Amazon Elastic Compute Cloud (EC2)、AWS Lambda 関数、コンテナイメージをほぼリアルタイムで継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかを調べる自動脆弱性管理サービスです。

Amazon Inspector は、ワンステップですべてのアカウントに Amazon Inspector をデプロイできるようにすることで、脆弱性管理ソリューションのデプロイと設定に関連する運用上のオーバーヘッドを取り除きます。追加の利点には以下が含まれます。

• ほぼリアルタイムの脆弱性の発見を提供する自動検出と継続的なスキャン

• 委任された管理者 (DA) アカウントを設定することによる、すべての組織のアカウントの一元的な管理、設定、および検出結果の表示

• より正確な対応の優先順位を設定するのに役立つ、各検出結果の高度にコンテキスト化された有意義な Amazon Inspector リスクスコア

• Amazon ECR や CI/CD ツール内のアカウント、Amazon EC2 インスタンス、Lambda 関数、コンテナイメージ、ソースコード管理 (SCM) プラットフォーム内のコードリポジトリなどのカバレッジメトリクスをほぼリアルタイムで確認できる、直感的な Amazon Inspector ダッシュボード。

• EC2 インスタンスをシームレスにスキャンし、エージェントベースとエージェントレススキャンを切り替えることで、脆弱性評価の対象範囲を最大化します。

• 監視対象のすべてのリソースのソフトウェア部品表 (SBOM) エクスポートを一元管理します。 

• ワークフローとチケットルーティングを自動化するための AWS Security Hub および Amazon EventBridge との統合

アカウント内のすべての評価テンプレートを削除するだけで、Amazon Inspector Classic を無効にできます。既存の評価の検出結果にアクセスするには、それらをレポートとしてダウンロードするか、Amazon Inspector API を使用してエクスポートします。AWS マネジメントコンソールでの数回のステップ、または新しい Amazon Inspector API を使用して、新しい Amazon Inspector を有効にできます。詳細な移行手順は、Amazon Inspector Classic ユーザーガイドに記載されています。

Amazon Inspector は、新しい脆弱性管理サービスを創出するために再設計および再構築されました。Amazon Inspector Classic から強化された主な点は次のとおりです。

• スケールを考慮した構築: 新しい Amazon Inspector は、スケールと動的なクラウド環境を考慮して構築されています。一度にスキャンできるインスタンスまたはイメージの数に制限はありません。

• コンテナイメージおよび Lambda 関数のサポート: 新しい Amazon Inspector は、Amazon ECR と CI/CD ツール、および Lambda 関数にあるコンテナイメージもスキャンして、ソフトウェアの脆弱性を検出します。コンテナ関連の検出結果も ECR コンソールにプッシュされます。

• マルチアカウント管理のサポート: 新しい Amazon Inspector は AWS Organizations と統合されているため、組織の Amazon Inspector の管理者アカウントに委任できます。この委任された管理者 (DA) アカウントは、すべての検出結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。

• AWS Systems Manager Agent: 新しい Amazon Inspector を使用すると、すべての Amazon EC2 インスタンスにスタンドアロンの Amazon Inspector エージェントをインストールして維持する必要がなくなります。新しい Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用しており、その必要性を排除しています。

• 自動化された継続的なスキャン: 新しい Amazon Inspector は、新しく起動されたすべての Amazon EC2 インスタンス、Lambda 関数と Amazon ECR にプッシュされた適格なコンテナイメージを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを即座にスキャンします。新しい脆弱性をもたらす可能性のあるイベントが発生すると、関連するリソースが自動的に再スキャンされます。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、およびリソースに影響を与える新しい一般的な脆弱性と暴露 (CVE) がパブリッシュされた際などがあります。

• Inspector リスクスコア: 新しい Amazon Inspector は、最新の CVE 情報を、ネットワークのアクセス可能性や悪用可能性の情報などの時間的および環境的要因と相関させて、検出結果の優先順位付けに役立つコンテキストを追加することにより、Inspector のリスクスコアを計算します。

• 脆弱性評価の対象範囲: 新しい Amazon Inspector は、EC2 インスタンスをシームレスにスキャンし、エージェントベースのスキャンとエージェントレススキャンの切り替えにより、脆弱性評価を強化します。

• ソフトウェア部品表 (SBOM) のエクスポート: 新しい Amazon Inspector は、監視対象のすべてのリソースの SBOM を一元的に管理してエクスポートします。 

• コードリポジトリのスキャン: 新しい Amazon Inspector は GitHub および GitLab とのネイティブ統合により、アプリケーションのソースコード、依存関係、および Infrastructure as Code (IaC) 全体にわたるセキュリティの脆弱性や設定ミスを迅速に特定し、優先順位を付けるのに役立ちます。

はい、同じアカウントで両方を同時に使用できます。

料金の詳細については、Amazon Inspector の料金ページを参照してください。

Amazon Inspector を初めて使用するすべてのアカウントは、サービスを評価してそのコストを見積もるための 15 日間の無料トライアルの対象となります。 無料トライアル期間中、対象となるすべての Amazon EC2 インスタンス、AWS Lambda 関数と Amazon ECR にプッシュされたコンテナイメージは、無料で継続的にスキャンされます。Amazon Inspector コンソールで推定支出を確認することもできます。無料トライアル期間も延長され、Code Security でコードリポジトリをスキャンできるようになりました。

Amazon Inspector は世界中で利用できます。リージョンごとの具体的な可用性は、こちらにリストされています。

AWS マネジメントコンソールで数回クリックするだけで、組織全体または個々のアカウントに対して Amazon Inspector を有効にできます。有効にすると、Amazon Inspector は実行中の Amazon EC2 インスタンス、Lambda 関数と Amazon ECR リポジトリを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーに対するワークロードの継続的なスキャンをすぐに開始します。コードセキュリティについては、ソースコード管理 (SCM) プラットフォームへの安全な統合を確立してスキャンを開始してください。 Amazon Inspector を初めて使用する場合は、15 日間の無料トライアルもあります。

Amazon Inspector の検出結果は、潜在的なセキュリティの脆弱性です。例えば、Amazon Inspector がソフトウェアの脆弱性を検出したり、コンピューティングリソースまたはコードへのネットワークパスを開いたりすると、セキュリティの検出結果が作成されます。

はい。Amazon Inspector は AWS Organizations と統合されています。Amazon Inspector に DA アカウントを割り当てることができます。これは、Amazon Inspector のプライマリ管理者アカウントとして機能し、一元的に管理および設定できます。DA アカウントは、AWS Organizations の一部であるすべてのアカウントの検出結果を一元的に表示および管理できます。

AWS Organizations 管理アカウントでは、Amazon Inspector コンソールでまたは Amazon Inspector API を使用して、Amazon Inspector に DA アカウントを割り当てることができます。

Amazon Inspectorを初めて起動する場合、EC2 スキャン、Lambda スキャン、ECR コンテナイメージスキャンなど、すべてのスキャンタイプがデフォルトで有効になっています。ただし、組織内のすべてのアカウントで、これらの一部または全部を無効にすることができます。既存のユーザーは、Amazon Inspector コンソールまたは Amazon Inspector API を使用して新機能を有効にすることができます。

いいえ、スキャンにエージェントは必要ありません。Amazon EC2 インスタンスの脆弱性スキャンでは、エージェントベースのソリューションとして AWS Systems Manager Agent (SSM Agent) を使用できます。Amazon Inspector では、SSM エージェントをデプロイまたは設定していない場合でも、エージェントレススキャンを利用できます。Amazon EC2 インスタンスのネットワーク到達性の評価、コンテナイメージの脆弱性スキャン、Lambda 関数の脆弱性スキャンについては、エージェントは必要ありません。 

Amazon EC2 インスタンスのソフトウェアの脆弱性を正常にスキャンするには、Amazon Inspector では、これらのインスタンスが AWS Systems Manager と SSM Agent によって管理されていることを推奨します。Systems Manager を有効にして設定する手順については、AWS Systems Manager ユーザーガイドの SystemsManager の前提条件を参照してください。マネージドインスタンスについては、AWS Systems Manager ユーザーガイドの「マネージドインスタンス」セクションを参照してください。SSM Agent がインストールされていないインスタンスの場合は、ハイブリッドモードをサポートするエージェントレススキャンでスキャンできます。

Amazon Inspector は、スキャンする ECR リポジトリを選択するために包含ルールの設定をサポートしています。包含ルールは、ECR コンソール内のレジストリ設定ページで、または ECR API を使用して作成および管理できます。包含ルールに一致する ECR リポジトリは、スキャンするように設定されます。リポジトリの詳細なスキャンステータスは、ECR コンソールと Amazon Inspector コンソールの両方で利用できます。

Amazon Inspector ダッシュボードの Resource Coverage パネルには、Amazon Inspector によってアクティブにスキャンされているアカウントのメトリクス、Amazon EC2 インスタンス、Lambda 関数、コードリポジトリ、および ECR リポジトリが表示されます。各インスタンスとイメージのスキャンステータスは、[Scanning] または [Not Scanning] です。[Scanning] とは、リソースがほぼリアルタイムで継続的にスキャンされていることを意味します。[Not Scanning] のステータスは、最初のスキャンがまだ実行されていないか、OS がサポートされていないか、または他の何かがスキャンを妨げていることを意味する可能性があります。Code Security の場合、「アクティブ」または「非アクティブ」のスキャンステータスは状態を表します。「アクティブ」とは、プロジェクトを定期的にスキャンするようにスキャンが設定されていることを意味します。

すべてのスキャンは、イベントに基づいて自動的に実行されます。すべてのワークロードは、最初に検出時にスキャンされ、その後再スキャンされます。

• Amazon EC2 インスタンスの場合: SSM エージェントベースのスキャンでは、インスタンスに新しいソフトウェアパッケージがインストールまたはアンインストールされたとき、新しい CVE が公開されたとき、脆弱なパッケージが更新されたあと (追加の脆弱性がないことを確認するため) に、再スキャンが開始されます。エージェントレススキャンの場合、スキャンは 24 時間ごとに実行されます。

• Amazon ECR コンテナイメージの場合: イメージに影響を与える新しい CVE が公開されると、自動再スキャンが開始され、コンテナイメージが適格であることを確認します。コンテナイメージの自動再スキャンは、Amazon Inspector コンソールまたは API でイメージの最終使用日とプッシュ日に設定された再スキャン期間に基づいています。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、イメージの最終使用日が、設定された「最終使用の再スキャン期間」内にある場合、コンテナイメージは引き続き監視され、イメージに影響する新しい CVE が公開されたときに自動再スキャンが開始されます。イメージの最終使用日の再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、90 日、または 180 日です。イメージプル日の再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、180 日、または無期限です。

• Lambda 関数の場合: すべての新しい Lambda 関数は検出時に初期評価され、Lambda 関数が更新されたり、新しい CVE が公開されたりした際には継続的に再評価されます。

• コードリポジトリの場合:すべての新しいコードリポジトリは、既定の構成設定に従って評価されます。定期的なスキャンや変更ベースのスキャンが設定されている場合、リポジトリは設定されたトリガーに従ってスキャンされます。CVE ベースの自動再スキャンはトリガーされません。

継続的なスキャンのために設定された Amazon ECR リポジトリにあるコンテナイメージは、Amazon Inspector コンソールまたは API で設定された期間にわたってスキャンされます。イメージの最終使用日の再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、90 日、または 180 日です。イメージプル日の再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、180 日、または無期限です。

• Amazon Inspector の ECR スキャンが有効になっている場合、Amazon Inspector は、過去 14 日間にプッシュされたイメージのみをスキャン対象として選択しますが、最終使用日およびプッシュ日用に設定された再スキャン期間 (14 日 (デフォルト)、30 日、60 日、90 日、180 日) は継続的にスキャンします。イメージのプッシュ日が設定された「プッシュ日の再スキャン期間」よりも短く、イメージの最終使用日が、設定された「最終使用の再スキャン期間」内にある場合、コンテナイメージは引き続き監視され、イメージに影響する新しい CVE が公開されたときに自動再スキャンが開始されます。例えば、Amazon Inspector ECR スキャンを有効にすると、Amazon Inspector は過去 14 日間にプッシュされたイメージをピックアップしてスキャンします。ただし、アクティベーション後、30 日間の再スキャン期間をプッシュ日および最終使用日の両方の設定で選択した場合、Amazon Inspector は過去 30 日間にプッシュされたイメージ、実行中のコンテナで使用されたイメージ (過去 30 日間に少なくとも 1 回は使用されたもの) を引き続きスキャンします。イメージがプッシュまたは実行中のコンテナで使用されなかった場合 (過去 30 日間)、Amazon Inspector はそのイメージの監視を停止します。

• Amazon Inspector ECR スキャンがアクティブになった後に ECR にプッシュされたすべてのイメージは、「最終使用日再スキャン期間」と「プッシュ日付再スキャン期間」で設定された期間、継続的にスキャンされます。イメージプッシュ日に利用できる再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、90 日、180 日、または無期限です。イメージ最終使用日の再スキャン期間の設定は、14 日 (デフォルト)、30 日、60 日、90 日、または 180 日です。自動再スキャン時間は、コンテナイメージの最終プッシュまたは最終使用日に基づいて計算されます。例えば、Amazon Inspector ECR スキャンを有効にした後、180 日間の再スキャン期間をプッシュ日および最終使用日の両方の設定で選択した場合、Amazon Inspector は過去 180 日間にプッシュされたイメージ、実行中のコンテナで使用されたイメージ (過去 180 日間に少なくとも 1 回は使用されたもの) を引き続きスキャンします。ただし、イメージがプッシュまたは実行中のコンテナで使用されなかった場合 (過去 180 日間)、Amazon Inspector はそのイメージの監視を停止します。

• イメージが「スキャン資格の有効期限切れ」状態にある場合は、イメージを取り出して Amazon Inspector の監視下に戻すことができます。イメージは、最後に取り込まれた日付から設定された再スキャン期間の間、継続的にスキャンされます。

• Amazon EC2 インスタンスの場合: はい。リソースタグを追加することで EC2 インスタンスをスキャンから除外できます。「InspectorEc2Exclusion」キーを使用できます。値は <optional> です。

• Amazon ECR にあるコンテナイメージの場合: はい。スキャン用に設定する Amazon ECR リポジトリを選択できますが、リポジトリ内のすべてのイメージがスキャンされます。包含ルールを作成して、スキャンするリポジトリを選択できます。

• Lambda 関数の場合: はい、リソースタグを追加することで Lambda 関数をスキャンから除外できます。標準スキャンの場合は、「インスペクター除外」キーと値「LambdaStandardScanning」を使用してください。コードをスキャンするには、「InspectorCodeExclusion」キーと値「LambdaCodeScanning」を使用してください。

• コードセキュリティの場合: はい、どのコードリポジトリをスキャン対象として設定するかを選択できます。インクルージョンルールを作成して、スキャン設定内でスキャンするリポジトリを選択できます。

マルチアカウント構造では、AWS 組織内のすべてのアカウントに対して、Amazon Inspector コンソールまたは API からDelegated Administrator (DA) アカウントを通じて Amazon Inspector for Lambda 脆弱性評価を有効にし、他のメンバーアカウントは、中央セキュリティチームがまだ自分のアカウントに対して Amazon Inspector を有効化していない場合に、自分のアカウントに対して Amazon Inspector を有効にすることができます。AWS 組織に属さないアカウントは、Amazon Inspector コンソールまたは API を通じて、個々のアカウントに対して Amazon Inspector を有効化することができます。

Amazon Inspector は、$LATEST バージョンのみを継続的に監視し、評価します。自動再スキャンは最新バージョンのみで継続されるため、新しい知見は最新バージョンのみで生成されます。コンソールでは、ドロップダウンからバージョンを選択することで、どのバージョンからの検出結果も見ることができるようになります。

いいえ。オプションには 2 つあります。Lambda 標準スキャンのみを有効化するか、Lambda 標準スキャンとコードスキャンを同時に有効にするかのどちらかです。Lambda 標準スキャンは、Lambda 関数およびアソシエーションレイヤーとしてデプロイされたアプリケーションで使用される脆弱な依存関係に対する基本的なセキュリティ保護を提供します。Lambda コードスキャンは、Lambda 関数内のカスタム専用アプリケーションコードをスキャンして、インジェクションの欠陥、データ漏えい、弱い暗号化、埋め込みシークレットなどのコードセキュリティの脆弱性を見つけることで、セキュリティ上の価値をさらに高めます。

デフォルトの SSM インベントリ収集頻度を変更すると、スキャンの継続的な性質に影響を与える可能性があります。Amazon Inspector は、SSM Agent を利用してアプリケーションインベントリを収集し、結果を生成します。アプリケーションインベントリの期間がデフォルトの 30 分から増加すると、アプリケーションインベントリへの変更の検出が遅れ、新しい検出結果が遅れる可能性があります。

Amazon Inspector リスクスコアは、一般的な脆弱性とエクスポージャー (CVE) 情報をネットワーク到達可能性の結果、悪用可能性データ、およびソーシャルメディアの傾向と相関させることにより、各検出結果に対して生成される高度にコンテキスト化されたスコアです。これにより、検出結果に優先順位を付け、最も重要な検出結果と脆弱なリソースに集中することが容易になります。Inspector のリスクスコアがどのように計算され、どの要因がスコアに影響を与えたかは、[Findings Details] サイドパネルの [Inspector Score] タブで確認できます。

例えば、Amazon EC2 インスタンスで識別された新しい CVE があり、これはリモートでのみ悪用できるとします。Amazon Inspector の継続的なネットワーク到達可能性スキャンでも、インスタンスがインターネットから到達可能ではないことが検出された場合、脆弱性が悪用される可能性が低いことがわかります。したがって、Amazon Inspector はスキャン結果を CVE と相関させて、リスクスコアを下方修正し、その特定のインスタンスに対する CVE の影響をより正確に反映します。

Amazon Inspector では、定義したカスタマイズされた基準に基づいて検出結果を抑制することができます。組織で受け入れ可能と見なされる検出結果の抑制ルールを作成できます。

Amazon Inspector コンソールまたは Amazon Inspector API を使用して数回クリックするだけで、複数の形式 (CSV または JSON) でレポートを生成できます。すべての検出結果を含む完全なレポートをダウンロードするか、コンソールで設定したビューフィルターに基づいてカスタマイズされたレポートを生成してダウンロードできます。

Amazon Inspectorで監視されているすべてのリソースのSBOMを、Amazon InspectorコンソールやAmazon Inspector APIを介して、複数の形式（CycloneDxまたはSPDX）で簡単な手順で生成およびエクスポートすることができます。すべてのリソースの SBOM を含む完全なレポートをダウンロードすることも、設定したビューフィルタに基づいて一部のリソースの SBOM を選択的に生成してダウンロードすることもできます。

1 つのアカウントを使用している既存の Amazon Inspector のお客様は、Amazon Inspector コンソールのアカウント管理ページにアクセスするか、API を使用して、エージェントレススキャンを有効にできます。

AWS Organizations を使用している既存の Amazon Inspector のお客様の場合、委任管理者は組織全体をエージェントレスソリューションに完全に移行するか、SSM エージェントベースのソリューションのみを引き続き使用する必要があります。スキャンモードの設定は、コンソールの EC2 設定ページまたは API を使用して変更できます。

Amazon Inspector の新規お客様の場合、EC2 スキャンを有効にすると、ハイブリッドスキャンモードがデフォルトでオンになります。ハイブリッドスキャンモードでは、Amazon Inspector はアプリケーションインベントリ収集に SSM エージェントを利用して脆弱性評価を行い、SSM エージェントがインストールまたは設定されていないインスタンスでは自動的にエージェントレススキャンにフォールバックします。

1 つのアカウントを使用している既存の Amazon Inspector のお客様は、Amazon Inspector コンソールのアカウント管理ページにアクセスするか、API を使用して、エージェントレススキャンを有効にできます。

AWS Organizations を使用している既存の Amazon Inspector のお客様の場合、委任管理者は組織全体をエージェントレスソリューションに完全に移行するか、SSM エージェントベースのソリューションのみを引き続き使用する必要があります。スキャンモードの設定は、コンソールの EC2 設定ページまたは API を使用して変更できます。

Amazon Inspector の新規お客様の場合、EC2 スキャンを有効にすると、ハイブリッドスキャンモードがデフォルトでオンになります。ハイブリッドスキャンモードでは、Amazon Inspector はアプリケーションインベントリ収集に SSM エージェントを利用して脆弱性評価を行い、SSM エージェントがインストールまたは設定されていないインスタンスでは自動的にエージェントレススキャンにフォールバックします。

Amazon Inspector は、エージェントレススキャン対象としてマークされたインスタンスについて、24 時間ごとに自動的にスキャンを開始します。SSM エージェントベースのスキャン対象としてマークされたインスタンスの連続スキャンの動作に変更はありません。 

いいえ、マルチアカウント設定では、委任された管理者のみが組織全体のスキャンモード構成を設定できます。

アプリケーションチームとプラットフォームチームは、Jenkins、AWS Code Pipeline、GitHub Actions、TeamCity などのさまざまな CI/CD ツール用に設計された専用の Amazon Inspector プラグインを使用して、Amazon Inspector をビルドパイプラインに統合できます。これらのプラグインは、各 CI/CD ツールのマーケットプレイスで入手できます。プラグインをインストールしたら、コンテナイメージの評価を実行するステップをパイプラインに追加し、評価結果に基づいてパイプラインをブロックするなどのアクションを実行できます。評価で脆弱性が特定されると、実用的なセキュリティ調査検出結果が生成されます。これらの検出結果には、脆弱性の詳細、修復の推奨事項、悪用可能性の詳細が含まれます。これらは JSON 形式と CSV 形式の両方で CI/CD ツールに返され、Amazon Inspector プラグインによって人間が読めるダッシュボードに変換することも、チームがダウンロードすることもできます。

いいえ、アクティブな AWS アカウントがあれば、この機能を使用するために Amazon Inspector を有効にする必要はありません。

はい。Amazon Inspector は、SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、Amazon 仮想プライベートクラウド (VPC) エンドポイントとして設定できます。

サポートされているオペレーティングシステム (OS) のリストはこちらにあります。

サポートされているプログラミング言語パッケージのリストは、こちらにあります。

はい。NAT を使用するインスタンスは、Amazon Inspector によって自動的にサポートされます。

はい。詳細については、プロキシを使用するように SSM Agent を設定するを参照してください。

Amazon Inspector は Amazon EventBridge と統合して、新しい検出結果、検出結果の状態の変更、抑制ルールの作成などのイベントの通知を送信します。Amazon Inspector は、呼び出しログ記録のために AWS CloudTrail とも統合されています。Amazon Inspector は Security Hub と統合されているため、組織やサービスを包括的に把握するための検出結果を送信できます。

はい。Amazon Inspector を実行すると、AWS Organization 全体の Amazon EC2 インスタンスについて、OS レベルの CIS 設定ベンチマークに照らして、対象を絞ったオンデマンド評価を実施できます。

はい。詳細については、Amazon Inspector パートナーを参照してください。

はい。Amazon Inspector サービスを停止することで、すべてのスキャンタイプ (Amazon EC2 スキャン、Amazon ECR コンテナイメージスキャン、Lambda 関数スキャン) を停止することができますが、アカウントに対して各スキャンタイプを個別に停止することもできます。

いいえ。Amazon Inspector は一時停止状態をサポートしていません。

Amazon Inspector には包括的なコードセキュリティ機能があり、本番稼働前にアプリケーションを保護するのに役立ちます。このサービスは、アプリケーションセキュリティのための 3 つの主要機能を提供します。静的アプリケーションセキュリティ検査 (SAST) は、アプリケーションのソースコードを分析して、カスタム記述コードの潜在的な脆弱性を特定します。ソフトウェア構成分析 (SCA) は、サードパーティの依存関係を評価して、ライブラリやパッケージが隠れたリスクをもたらさないことを確認します。Infrastructure as Code (IaC) スキャンはインフラストラクチャ定義を検証し、デプロイ前に設定ミスを防ぎます。これらの機能は連携して、コードからインフラストラクチャまで、アプリケーションセキュリティの全体像を把握するのに役立ちます。

Amazon Inspector は GitHub および GitLab と統合されているため、開発プロセス全体にセキュリティスキャンを組み込むのに役立ちます。コードのセキュリティは、複数の段階で評価できます。開発者がプルリクエスト、マージリクエスト、またはリポジトリ内のコード変更をプッシュしたり、オンデマンドでコードを変更したり、スケジュールされたセキュリティレビューを通じてコードを変更したりする場合です。この柔軟性により、チームは開発手法に合ったセキュリティスキャンを実装できます。Amazon Inspector は、既存のワークフローに適応することで、チームの生産性を損なうことなく、開発ライフサイクルの不可欠な一部としてセキュリティを実装できるように支援します。

Amazon Inspector は、コードリポジトリをスキャンするために複数のスキャン頻度をサポートしています。設定したスケジュールで定期的にスキャンするか、特定の曜日に毎週スキャンするか、毎月スキャンするかを選択できます。さらに、pull_request や merge_request などのコードが変更されたときや、プッシュ時にスキャンを有効にすることもできます。個々のプロジェクトやリポジトリもオンデマンドでスキャンできます。

Amazon Inspector は、デフォルトのスキャン設定と一般的なスキャン設定をサポートしています。両者の違いは、検出された新しいプロジェクトにデフォルトのスキャン設定を自動的に添付できることです。ソースコード管理 (SCM) プラットフォームへの接続を確立する際に、デフォルトのスキャン設定が統合ワークフローに組み込まれます。デフォルトのスキャン設定は作成しなくてもかまいません。後でいつでも追加できます。一般的なスキャン設定は、スキャン設定の作成時に検出された既存のプロジェクトにのみ適用されます。