スキャンの種類と監視について
Contrast Serverlessでは、次の種類のスキャンをサポートします。
静的スキャン
このスキャンでは、関連する静的コードや設定評価をほぼリアルタイムで自動的にスキャンし、以下のカテゴリにおいて新たな脆弱性を検出します。
最小権限:デプロイ前のサーバレスワークロード内のIAMの脆弱性(過剰に権限が設定されている関数)を検出し、推奨するアクセス許可を修正案として表示します。
Contrast SCA:Contrast SCAエンジンを使用して、オープンソースライブラリのSCAを行います。
このスキャンによる、コードへの永久的な影響はありません。
動的スキャン
動的スキャンでは、検査対象の環境で発生する特定の更新に基づいて動的な検査を行います。 動的スキャンは、S3、API Gateway、Dynamo DBの関数で呼び出されます。
これは、検査対象の環境で生じた特定の更新に合わせて、ほぼリアルタイムで自動的に実行され、動的な検査が行われます。動的スキャンは、OWASP Top 10の判定を基準としています。例:
SQLインジェクション
コードインジェクション
ローカルファイルインクルード(LFI)
動的スキャンでは、Contrastは悪意のあるデータを送信して関数の実行を試行し、脆弱性を検出します。この動作はコードに影響を与えませんが、スキャン対象の関数は呼び出されます。
IAST解析
注記
IAST解析を実行する場合は、テストカバレッジを使用する必要があります。
スキャンの設定を指定する際に、このオプションを選択することを推奨します。
IAST解析により、AWSアカウントで悪用可能な全てのAWS Lambda関数が明らかになります。最新のAWS Lambdaサービスに対するサポートにより、AWS Step Functions(複数のLambda関数を柔軟なワークフローに調整するサービス)のセキュリティの問題を明らかにすることができます。
以下のようなOWASPトップ10の脆弱性を検出できます。
コンテンツインジェクション、OSコマンドインジェクション、 SQLインジェクション(限定的)、コードインジェクション
クロスサイトスクリプティング(XSS)
ローカルファイルインクルード(LFI)
さらに、未使用の関数(シャドウ関数)を含め、サーバレスアカウントの全ての資産が明らかになります。これにより、AWSアカウントの観測性が向上し、セキュリティカバレッジが広がります。未使用の関数は、通常のメンテナンスがされておらず、脆弱性につながる古い依存関係が含まれている可能性があります。
継続的な監視
Contrastからアカウントに接続すると、Contrast Serverlessがこのアカウントを監視します。関数のコードや設定が変更されると、Contrastは自動的に新しいスキャンを開始します。