本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon ECR 中扫描映像是否存在操作系统漏洞
Amazon ECR 提供了两个版本的基本扫描,它们使用常见漏洞和暴露 (CVEs) 数据库:
-
Amazon 本机基本扫描-使用 Amazon 本机技术,现已推出 GA,建议使用。这种改进的基本扫描旨在为客户提供跨各种流行操作系统的更好扫描结果和漏洞检测。这使得客户能够进一步加强其容器映像的安全性。所有新客户注册都默认选择此改进版本。
-
Clair 基本扫描 — 之前的基本扫描版本,它使用开源 Clair 项目(参见 Clai r
on)。 GitHubClair 现已被弃用,自 2026 年 2 月 2 日起将不再受支持。
按地区划分的Amazon 服务中列出的所有区域均支持 Amazon 原生扫描和 Clair 基本扫描,唯一的不同是那些在 2024 年 9 月之后添加的区域
Amazon ECR 使用来自上游分配源的 CVE 的严重性(如果可用)。否则,将使用常见漏洞评分系统(CVSS)评分。CVSS 评分可用于获取 NVD 漏洞严重性评级。有关更多信息,请参阅 NVD 漏洞严重性评级
这两个版本的 Amazon ECR 基本扫描都支持筛选条件,以指定推送时要扫描哪些存储库。任何不符合推送时扫描筛选条件的存储库都将设置为手动扫描频率,这意味着必须手动开始扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描(如已配置)以及任何手动扫描。使用基本扫描,在给定注册表中,您每 24 小时最多可以扫描 100,000 张图像。100,000 的限制包括推送式初始扫描和手动扫描,包括 Clair 和改进版的基本扫描。
可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊 EventBridge发送一个事件。有关更多信息,请参阅 亚马逊 ECR 事件和 EventBridge。
Clair 弃用
亚马逊 ECR 中的 Clair 已被弃用。克莱尔将在 2026 年 2 月 2 日之前仍可使用。但是,我们强烈建议您尽快将 Clair 使用过渡到 Amazon 本机基本扫描。以下是你应该知道的关于 Clair Deprecation 的信息:
-
从 2026 年 2 月 2 日起,新增区域将不支持 Clair,任何地区都将不再支持 Clair。
-
从 2026 年 2 月 2 日起,您将无法进行任何 Clair 扫描,并且在此日期之后您进行的任何扫描都将不可用。切换到新版本后,必须触发对图像的新扫描才能重新生成扫描结果。
-
在 2026 年 2 月 2 日之前,您可以在 Clair 和原生基本扫描之间来回切换。
-
如果您当前已设置 Clair,则从 2026 年 2 月 2 日起,如果之前未进行基本扫描,则将自动切换到原生基本扫描。
Amazon 与 Clair 扫描相比,本机基本扫描还提供以下附加功能:
-
当原生基本扫描扫描资源时,它会获取 50 多个数据源,以生成常见漏洞和漏洞的调查结果(CVEs)。这些来源的示例包括供应商安全公告、数据源和威胁情报源,以及国家漏洞数据库 (NVD) 和 MITRE。
-
原生基本扫描每天至少更新一次来自源订阅源的漏洞数据。
-
扫描结果和漏洞检测可在各种常用操作系统中获得(见下文)。
要切换到改进后的基本扫描,请参阅中的说明在 Amazon ECR 中切换到改进的映像基本扫描功能。
操作系统支持基本扫描及改进的基本扫描
作为一项安全最佳实践并为了持续提供覆盖,建议您继续使用受支持的操作系统版本。根据供应商政策,停用的操作系统不再更新修补程序,而且在许多情况下,也不再发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。分发失去其供应商的支持后,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 仍为已停用操作系统生成的所有调查发现都应仅供参考。下方列出了当前支持的操作系统和版本。
| 操作系统 | 版本 | Amazon 原生基础版 | 克莱尔基本款 |
|---|---|---|---|
| Alpine Linux (Alpine) | 3.19 | ||
| Alpine Linux (Alpine) | 3.20 | ||
| Alpine Linux (Alpine) | 3.21 | ||
| Alpine Linux (Alpine) | 3.22 | ||
| Alpine Linux (Alpine) | 3.23 | ||
| AlmaLinux | 8 | ||
| AlmaLinux | 9 | ||
| AlmaLinux | 10 | ||
| 亚马逊 Linux (2AL2) | AL2 | ||
| 亚马逊 Linux 2023 (AL2023) | AL2023 | ||
| Debian 服务器 (Bullseye) | 11 | ||
| Debian 服务器 (Bookworm) | 12 | ||
| Debian 服务器 (Trixie) | 13 | ||
| Fedora | 41 | ||
| OpenSUSE Leap | 15.6 | ||
| Oracle Linux (Oracle) | 8 | ||
| Oracle Linux (Oracle) | 9 | ||
| Photon OS | 4 | ||
| Photon OS | 5 | ||
| Red Hat Enterprise Linux (RHEL) | 8 | ||
| Red Hat Enterprise Linux (RHEL) | 9 | ||
| Red Hat Enterprise Linux (RHEL) | 10 | ||
| Rocky Linux | 8 | ||
| Rocky Linux | 9 | ||
| SUSE Linux Enterprise Server (SLES) | 15.6 | ||
| Ubuntu (Xenial) | 16.04 (ESM) | ||
| Ubuntu (Bionic) | 18.04 (ESM) | ||
| Ubuntu (Focal) | 20.04 (LTS) | ||
| Ubuntu (Jammy) | 22.04 (LTS) | ||
| Ubuntu(Noble Numbat) | 24.04 | ||
| Ubuntu(Oracular Oriole)) | 24.10 |