サーバーレス関数スキャン: GCP Cloud Function の脆弱性やパッケージの詳細はありません。

この記事は、GCP Cloud Function のサーバーレス関数スキャンに関するものです。

ユーザーは、オンボードされた GCP クラウド アカウントのサーバーレス関数スキャンを有効にし、権限ステータスは正常に見えます。スキャンを実行すると、クラウド関数は次のページにリストされますが、「脆弱性」および「パッケージ情報」タブには「表示するデータがありません」と表示されます。
- モニター > 脆弱性 > 機能 > スキャンされた機能




GCP 側でスキャンしたクラウド機能は以下の通りです。

• Prisma Cloud ランタイム セキュリティ
• GCP クラウド機能

現在の設計では、サーバーレス関数スキャンはコード自体をスキャンせず、関数のパッケージ設定ファイル (Python の場合) requirements.txt、PKG-INFO ファイルなど) にリストされている依存関係を調べます。これらの依存関係は、既知の脆弱性データベースと照合されます。
つまり、zip ファイルとしてのクラウド関数に脆弱なコンテンツ (脆弱なライブラリ パッケージなど) が含まれている場合は期待どおりに動作しますが、コードのみが含まれている場合は脆弱性は発生しません。

クラウド関数の脆弱性検出をテストする場合は、ソース コードと脆弱なライブラリをパッケージ化 (ZIP ファイルなど) し、アップロードしてクラウド関数を作成し、スキャンを実行できます。