本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
扫描图像以查找 Amazon 中的操作系统漏洞 ECR
注意
建议使用基本扫描的改进版。
Amazon ECR 提供两个版本的基本扫描,它们使用常见漏洞和暴露 (CVEs) 数据库:
-
使用 Amazon 原生技术 (AWS_NATIVE) 的基本扫描的改进版本。
-
之前的基本扫描版本使用开源 Clair 项目。有关 Clair 的更多信息,请参阅上的 Clair
。 GitHub
Amazon ECR 使用CVE来自上游分发来源的严重性(如果有)。否则,将使用通用漏洞评分系统 (CVSS) 分数。该CVSS分数可用于获取NVD漏洞严重性等级。有关更多信息,请参阅NVD漏洞严重性等级
两个版本的 Amazon ECR 基本扫描都支持筛选器,用于指定推送时要扫描哪些存储库。任何与推送扫描过滤器不匹配的存储库都将设置为手动扫描频率,这意味着您必须手动开始扫描。每隔 24 小时可以扫描一次图像。24 小时包括推送时的初始扫描(如果已配置)和任何手动扫描。
可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊发送一个事件 EventBridge。有关更多信息,请参阅 亚马逊ECR活动和 EventBridge。
操作系统支持基本扫描和改进的基本扫描
作为安全最佳实践,为了持续提供保障,我们建议您继续使用支持的操作系统版本。根据供应商政策,已停产的操作系统将不再使用补丁进行更新,而且在许多情况下,不再为它们发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。在发行版失去供应商的支持后,Amazon ECR 可能不再支持对其进行漏洞扫描。Amazon ECR 针对已停产的操作系统得出的任何调查结果都应仅用于提供信息。下面列出了当前支持的操作系统和版本。
| 操作系统 | 版本 |
|---|---|
| Alpine Linux (Alpine) | 3.19 |
| Alpine Linux (Alpine) | 3.18 |
| Alpine Linux (Alpine) | 3.17 |
| Alpine Linux (Alpine) | 3.16 |
| Alpine Linux (Alpine) | 3.20 |
| 亚马逊 Linux (2AL2) | AL2 |
| 亚马逊 Linux 2023 (AL2023) | AL2023 |
| CentOS Linux (CentOS) | 7 |
| Debian 服务器 (Bookworm) | 12 |
| Debian 服务器 (Bullseye) | 11 |
| Debian 服务器 (Buster) | 10 |
| Oracle Linux (Oracle) | 9 |
| Oracle Linux (Oracle) | 8 |
| Oracle Linux (Oracle) | 7 |
| Ubuntu(农历) | 23.04 |
| Ubuntu (Jammy) | 22.04 () LTS |
| Ubuntu (Focal) | 20.04 () LTS |
| Ubuntu (Bionic) | 18.04 () ESM |
| Ubuntu (Xenial) | 16.04 () ESM |
| Ubuntu (Trusty) | 14.04 () ESM |
| 红帽企业 Linux (RHEL) | 7 |
| 红帽企业 Linux (RHEL) | 8 |
| 红帽企业 Linux (RHEL) | 9 |