镜像扫描
Amazon ECR 镜像扫描有助于识别容器镜像中的软件漏洞。提供以下扫描类型。
-
增强扫描—Amazon ECR 与 Amazon Inspector 集成以提供对您的存储库的自动连续扫描。扫描容器镜像是否存在操作系统和编程语言包漏洞。随着新漏洞的出现,扫描结果将更新,Amazon Inspector 会向 EventBridge 发送一个事件以通知您。
-
基本扫描—Amazon ECR 使用开源 Clair 项目中的常见漏洞和披露 (CVE) 数据库。通过基本扫描,您可以将存储库配置为在推送时扫描,也可以执行手动扫描,而 Amazon ECR 会提供扫描结果列表。
使用筛选条件
为私有注册表配置镜像扫描后,您可以指定扫描所有存储库,也可以指定筛选条件来限定存储库扫描范围。
使用 basic(基本)扫描时,您可以指定按推送筛选条件进行扫描,以指定将哪些存储库设置为在推送新镜像时进行镜像扫描。对于任何不符合基本扫描的推送筛选条件的存储库,都将设置为 manual(手动)扫描频率,这意味着必须手动触发扫描才能执行扫描。
使用 enhanced(增强)扫描时,您可以为推送扫描和连续扫描分别指定筛选条件。任何不符合增强扫描筛选条件的存储库都将禁用扫描。如果您使用增强扫描并为推送扫描和连续扫描分别指定了筛选条件,并且同一存储库符合多个筛选条件,则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件,而不是推送扫描筛选条件。
指定筛选条件后,没有通配符的筛选条件将匹配包含该筛选条件的所有存储库名称。带通配符 (*
) 的筛选条件匹配任何存储库名称,通配符会在其中替换存储库名称中的零个或多个字符。下表提供了示例,其中存储库名称在水平轴上表示,示例筛选条件在垂直轴上指定。
prod |
repo-prod |
prod-repo |
repo-prod-repo |
prodrepo |
|
---|---|---|---|---|---|
prod |
|
|
|
|
|
*prod |
|
|
|
|
|
prod* |
|
|
|
|
|
*prod* |
|
|
|
|
|
prod*repo |
|
|
|
|
|