Question#64(SAP-C02)
ある会社には Python で書かれた複数の AWS Lambda 関数があります。関数は .zip パッケージのデプロイタイプであり、共通ライブラリやパッケージを含む Lambda レイヤー(.zip ファイル)が利用されています。Lambda の .zip パッケージとレイヤーの .zip ファイルは Amazon S3 バケットに格納されています。
会社は、Lambda 関数と Lambda レイヤーに対して CVE(脆弱性識別子)の自動スキャンを実装しなければなりません。また、Lambda 関数の一部については、データ漏洩やその他の脆弱性を検出するためのコードスキャンを自動的に実行する必要があります。コードスキャンは一部の Lambda 関数のみに実行され、全ての関数には不要です。 どのアクションの組み合わせが要件を満たしますか?(3つ選択)(3つ選択)
正解:A, B, E
A. Amazon Inspector を有効化する
- Amazon Inspector を有効化することで、Lambda 関数やレイヤーの依存関係に対する CVE スキャンが開始されます。
- これが前提にならないと、CVE 検出やコードスキャン自体が行われません。
- 標準スキャン:Lambda 関数とレイヤーに含まれるライブラリやパッケージを解析し、**既知の脆弱性(CVE)**を検出。
- コードスキャン:Lambda 関数のコード本体を解析し、データ漏洩や脆弱なパターンを検出。
- これらを有効化することで、問題文の要件である 「CVE スキャン」と「一部の関数に対するコードスキャン」 の両方を満たせます。
- Amazon Inspector の仕様では、Lambda 関数はデフォルトでスキャン対象になります。
- 公式ドキュメントに記載されている通り、特定の Lambda 関数をコードスキャンから除外するにはタグを使う必要があります。
InspectorCodeExclusion Value: LambdaCodeScanning- この仕組みにより、「一部の Lambda 関数だけをコードスキャン対象にする」要件を実現可能です。
コメント