本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon ECR 中扫描映像是否存在操作系统漏洞
Amazon ECR 基本扫描使用 Amazon 原生技术来扫描您的容器映像中是否存在软件漏洞。基本扫描可在各种常用操作系统中提供漏洞检测,采购 50 多个数据源来生成常见漏洞和风险暴露的发现(CVEs)。这些来源包括供应商安全公告、数据源、威胁情报源以及国家漏洞数据库 (NVD) 和 MITRE。
按地区划分的Amazon
服务
Amazon ECR 使用来自上游分配源的 CVE 的严重性(如果可用)。否则,将使用常见漏洞评分系统(CVSS)评分。CVSS 评分可用于获取 NVD 漏洞严重性评级。有关更多信息,请参阅 NVD 漏洞严重性评级
Amazon ECR 基本扫描支持筛选器,用于指定推送时要扫描哪些存储库。任何与推送扫描过滤器不匹配的存储库都将设置为手动扫描频率,这意味着您必须手动开始扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描(如已配置)以及任何手动扫描。使用基本扫描,在给定注册表中,您每 24 小时最多可以扫描 100,000 个映像。
可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊 EventBridge发送一个事件。有关更多信息,请参阅 亚马逊 ECR 事件和 EventBridge。
操作系统支持基本扫描
作为一项安全最佳实践并为了持续提供覆盖,建议您继续使用受支持的操作系统版本。根据供应商政策,停用的操作系统不再更新修补程序,而且在许多情况下,也不再发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。分发失去其供应商的支持后,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 仍为已停用操作系统生成的所有调查发现都应仅供参考。有关支持的操作系统和版本的完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统-Amazon Inspec tor 扫描。