Contrast CodeSecでLambda関数のスキャンを実行
Contrast CodeSecで、AWS Lambda関数のセキュリティの問題を検出し、問題に対処することができます。現在、AWS上のJavaとPythonの関数をサポートしております。
Lambda関数をスキャンすることで、次のことが分かります。
最小権限およびアクセス許可(IAM)に関する脆弱性(許容権限を超えている関数)と対策方法
ライブラリに含まれるCVE(脆弱な依存関係)および対策方法
開始する前に
お使いのAWS認証情報を指定してコマンドを実行し、ローカル環境にAWS認証情報を設定します。
export AWS_DEFAULT_REGION=<使用するAWSリージョン>
export AWS_ACCESS_KEY_ID=<使用するアクセスキーID>
export AWS_SECRET_ACCESS_KEY=<使用するシークレットアクセスキー>
AWS認証情報が、ローカル設定(通常は~/.aws/credentials)に保存されている場合があります。お使いのAWSプロファイルを使用してLambdaスキャンを実行するために--profileを渡すという方法もあります。異なる認証情報をエクスポートすることもできます。
contrast lambdaコマンドを使用して、AWS Lambdaでのすべての必要な情報を収集するために、以下の権限が必要です。
Lambda: GetFunction | GetLayerVersion | ListFunctions
IAM:GetRolePolicy | GetPolicy | GetPolicyVersion | ListRolePolicies | ListAttachedRolePolicies
手順 1:スキャンを実行
"contrast lambda"コマンドを使用して、AWS Lambda関数をスキャンします。
contrast lambda --function-name MyFunctionName --region my-aws-region