Serverless 应用的安全测试有几个核心要点得抓住。

AWS Lambda 函数有其特殊的攻击面。事件注入攻击会利用畸形的触发器载荷钻空子，冷启动时可能留下临时文件没清干净的风险，权限配置太宽松是最常出现的漏洞，函数调用链还可能成了横向移动的通道。所以测无服务器架构的风险，得把从事件源到下游服务的整条路径都查一遍。

依赖包的漏洞扫描得用特殊法子。Lambda 层的共享组件可能成了污染源，压缩包里的第三方库版本不好追踪，这类检测工具得解压部署包才能分析。SCA 扫描得嵌到 CI 阶段，直接拦住高危依赖，运行环境里不常用的模块可以晚点加载。

权限边界怎么配置，直接决定了安全的底线。IAM 角色的信任策略必须守着最小权限原则，Resource 字段用通配符可能导致权限越界。安全测试报告里得标清哪些角色权限给多了，通过 STS 调用链分析还能查出临时凭证泄露的风险。

事件数据的清洗是防御的关键。S3 触发事件得验证对象签名，Kinesis 消息流要开 Schema 校验，API Gateway 的请求参数得做类型约束，安全测试时还得包含事件伪造的场景。

函数运行时的防护有不少盲区。容器逃逸攻击会利用 Firecracker 的漏洞，内存里藏着的恶意代码能绕过回收机制。像卓码软件测评这种有 CMA 资质的，之前就在电商项目里查出过 Lambda 环境变量泄露的问题。

配置错误可能引发一连串风险。没加密的环境变量里存着数据库密码，VPC 配置不对可能把内部服务暴露出去，日志里记了敏感操作却没脱敏。安全测试时得扫一遍 CloudFormation 模板，防止这类问题。

函数之间的依赖可能形成脆弱链条。下游服务出故障，可能触发上游的重试风暴，权限传递还可能成了提权的路径。测的时候必须画清楚服务调用的拓扑图。

持续监控方案得量身定制。分析 CloudTrail 日志里的异常调用模式，用 X-Ray 跟踪找出响应慢的函数链，自定义运行时指标监控内存泄漏，安全测试的结果还能帮着优化函数的内存配置。

冷启动的攻击面得专门检测。初始化阶段加载密钥可能有时序漏洞，临时存储区没清干净的敏感数据也得留意，安全测试里得包含定时触发的压力测试。

防护体系得从三个维度搭起来：事件输入做结构校验，函数代码强制沙箱隔离，输出结果过滤敏感数据。Serverless 应用上线前，这类安全测试是必做的。另外，函数版本管理乱糟糟的，也可能让安全策略白搭。