本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基本扫描
改进后的基本扫描功能在 Amazon ECR 的预览版中,可能会发生变化。在此公开预览期间,您只能使用选择 Amazon Web Services Management Console 加入改进版基本扫描版本。 |
Amazon ECR 提供了两个使用常见漏洞和暴露 (CVE) 数据库的基本扫描版本:使用开源 Clair 项目的当前 GA 版本和使用我们原生技术的新改进版基本扫描(预览版)。 Amazon 在私有注册表上启用任一版本的 Amazon ECR 基本扫描后,您可以配置存储库筛选器以指定哪些存储库设置为推送时扫描,也可以执行手动扫描。Amazon ECR 提供了扫描结果的列表。对于每个容器镜像,可以每 24 小时扫描一次。您可以查看扫描结果,了解有关使用 DescribeImageScanFindings
API 或在控制台中部署的容器映像的安全性的信息。有关 Clair 的更多信息,请参阅上的 Clair
Amazon ECR 使用上游分配源中的 CVE 的严重性 (如果可用),否则我们使用通用漏洞评分系统 (CVSS) 评分。CVSS 评分可用于获取 NVD 漏洞严重性评级。有关更多信息,请参阅 NVD 漏洞严重性评级
对于任何不符合推送筛选条件的存储库,都将设置为 manual(手动)扫描频率,这意味着必须手动触发扫描才能执行扫描。可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊发送一个 CloudWatch 事件 EventBridge (以前称为事件)。有关更多信息,请参阅 Amazon ECR 事件和 EventBridge。
重要
以下区域支持新版本的基本扫描:
-
亚太地区(香港)(
ap-east-1
) -
欧洲(斯德哥尔摩)(
eu-north-1
) -
中东(巴林)(
me-south-1
) -
亚太地区(孟买)(
ap-south-1
) -
欧洲(巴黎)(
eu-west-3
) -
Amazon GovCloud (美国东部)(
us-gov-east-1
) -
非洲(开普敦)(
af-south-1
) -
亚太地区(雅加达)(
ap-southeast-3
) -
欧洲地区(法兰克福)(
eu-central-1
) -
欧洲地区(爱尔兰)(
eu-west-1
) -
南美洲(圣保罗)(
sa-east-1
) -
美国东部(俄亥俄州)(
us-east-2
) -
Amazon GovCloud (美国西部)(
us-gov-west-1
) -
亚太地区(东京)(
ap-northeast-1
) -
亚太地区(首尔)(
ap-northeast-2
) -
亚太地区(大阪)(
ap-northeast-3
) -
欧洲(米兰)(
eu-south-1
) -
欧洲(伦敦)(
eu-west-2
) -
美国东部(弗吉尼亚州北部)(
us-east-1
) -
亚太地区(新加坡)(
ap-southeast-1
) -
亚太地区(悉尼)(
ap-southeast-2
) -
加拿大(中部)(
ca-central-1
) -
美国西部(加利福尼亚北部)(
us-west-1
) -
美国西部(俄勒冈州)(
us-west-2
) -
欧洲(苏黎世)(
eu-central-2
)
有关扫描镜像时的常见问题的排查详细信息,请参阅 排查镜像扫描问题。
作为安全最佳实践,为了持续提供保障,我们建议您继续使用支持的操作系统版本。根据供应商政策,已停产的操作系统将不再使用补丁进行更新,而且在许多情况下,不再为它们发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。一旦分发失去其供应商的支持,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 针对已停产的操作系统得出的任何调查结果都应仅用于提供信息。下面列出了当前支持的操作系统和版本。
操作系统 | 版本 |
---|---|
Alpine Linux (Alpine) | 3.19 |
Alpine Linux (Alpine) | 3.18 |
Alpine Linux (Alpine) | 3.17 |
Alpine Linux (Alpine) | 3.16 |
Amazon Linux 2 (AL2) | AL2 |
亚马逊 Linux 2023 (AL2023) | AL2023 |
CentOS Linux (CentOS) | 7 |
Debian 服务器 (Bookworm) | 12 |
Debian 服务器 (Bullseye) | 11 |
Debian 服务器 (Buster) | 10 |
Oracle Linux (Oracle) | 9 |
Oracle Linux (Oracle) | 8 |
Oracle Linux (Oracle) | 7 |
Ubuntu(农历) | 23.04 |
Ubuntu (Jammy) | 22.04 (LTS) |
Ubuntu (Focal) | 20.024 (LTS) |
Ubuntu (Bionic) | 18.04 (ESM) |
Ubuntu (Xenial) | 16.04 (ESM) |
Ubuntu (Trusty) | 14.04 (ESM) |
Red Hat Enterprise Linux (RHEL) | 7 |
Red Hat Enterprise Linux (RHEL) | 8 |
Red Hat Enterprise Linux (RHEL) | 9 |
使用基本扫描
手动扫描镜像
当您要扫描存储库中未配置为推送时扫描的镜像时,可以手动开始镜像扫描。每天只能扫描一次镜像。此限额包括初始推送时扫描(如已配置)以及任何手动扫描。
有关扫描镜像时的常见问题的排查详细信息,请参阅 排查镜像扫描问题。
检索镜像扫描查找结果
您可以检索上次完成的镜像扫描的扫描结果。扫描结果根据常见漏洞和披露 (CVE) 数据库按严重性列出发现的软件漏洞。
有关扫描镜像时的常见问题的排查详细信息,请参阅 排查镜像扫描问题。