在 Amazon ECR 中扫描映像是否存在操作系统漏洞 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon ECR 中扫描映像是否存在操作系统漏洞

注意

该区域不支持 Amazon 本机扫描和 Clair 基本扫描。

Amazon ECR 提供了两个版本的基本扫描,它们使用常见漏洞和暴露 (CVEs) 数据库:

  • Amazon 本机基本扫描-使用 Amazon 本机技术,现已推出 GA,建议使用。这种经过改进的基本扫描旨在为客户提供更好的扫描结果和跨各种流行操作系统的漏洞检测。这使客户能够进一步增强其容器镜像的安全性。默认情况下,所有新的客户注册表都选择使用此改进版本。

  • Clair 基本扫描 — 以前的基本扫描版本,使用开源 Clair 项目,现已弃用。有关 Clair 的更多信息,请参阅上的 Clair。 GitHub

按地区划分的Amazon 服务” 中列出的所有区域均支持 Amazon 原生扫描和 Clair 基本扫描,但 2024 年 9 月之后添加的区域除外。由于 Clair 支持已被弃用,因此新增区域将不支持 Clair,从 2025 年 10 月 1 日起,所有地区都将不再支持 Clair。

Amazon ECR 使用来自上游分配源的 CVE 的严重性(如果可用)。否则,将使用常见漏洞评分系统(CVSS)评分。CVSS 评分可用于获取 NVD 漏洞严重性评级。有关更多信息,请参阅 NVD 漏洞严重性评级

这两个版本的 Amazon ECR 基本扫描都支持筛选条件,以指定推送时要扫描哪些存储库。任何不符合推送时扫描筛选条件的存储库都将设置为手动扫描频率,这意味着必须手动开始扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描(如已配置)以及任何手动扫描。

可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊 EventBridge发送一个事件。有关更多信息,请参阅 亚马逊ECR活动和 EventBridge

操作系统支持基本扫描及改进的基本扫描

作为一项安全最佳实践并为了持续提供覆盖,建议您继续使用受支持的操作系统版本。根据供应商政策,停用的操作系统不再更新修补程序,而且在许多情况下,也不再发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。分发失去其供应商的支持后,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 仍为已停用操作系统生成的所有调查发现都应仅供参考。下方列出了当前支持的操作系统和版本。

操作系统 版本 Amazon 原生基础版 克莱尔基本款
Alpine Linux (Alpine) 3.21 没有
Alpine Linux (Alpine) 3.20
Alpine Linux (Alpine) 3.19
Alpine Linux (Alpine) 3.18
亚马逊 Linux (2AL2) AL2
亚马逊 Linux 2023 (AL2023) AL2023
Debian 服务器 (Bookworm) 12
Debian 服务器 (Bullseye) 11
Oracle Linux (Oracle) 9
Oracle Linux (Oracle) 8
Oracle Linux (Oracle) 7
Ubuntu(Noble) 24.04 没有
Ubuntu(Lunar) 23.04
Ubuntu (Jammy) 22.04 (LTS)
Ubuntu (Focal) 20.04 (LTS)
Ubuntu (Bionic) 18.04 (ESM)
Ubuntu (Xenial) 16.04 (ESM)
Red Hat Enterprise Linux (RHEL) 9
Red Hat Enterprise Linux (RHEL) 8