在 Amazon ECR 中扫描映像是否存在软件漏洞 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon ECR 中扫描映像是否存在软件漏洞

Amazon ECR 映像扫描有助于识别容器映像中的软件漏洞。提供以下扫描类型。

重要

增强扫描基本扫描改进的基本扫描版本之间切换将导致先前建立的扫描不再可用。您必须重新设置扫描。但是,如果您切换回之前的扫描版本,则已建立的扫描将可用。

  • 增强扫描 — Amazon ECR 与 Amazon Inspector 集成,可自动持续扫描您的存储库。将会扫描容器映像是否存在操作系统和编程语言包漏洞。当出现新的漏洞时,扫描结果会更新,Amazon Inspector 会发出一个事件 EventBridge 来通知您。增强扫描提供以下功能:

    • 操作系统和编程语言包漏洞

    • 两种扫描频率:按下扫描和连续扫描

  • 基本扫描 — Amazon ECR 提供两个版本的基本扫描,它们使用常见漏洞和暴露 (CVEs) 数据库:.

    • Amazon 本机基本扫描-使用 Amazon 本机技术,现已推出 GA,建议使用。所有新客户注册都默认选择此改进版本。

    • Clair 基础扫描 — 使用开源 Clair 项目,已弃用。

    通过基本扫描,您可以将存储库配置为在推送时扫描,也可以执行手动扫描,而 Amazon ECR 会提供扫描结果列表。基本扫描提供以下功能:

    • 操作系统扫描

    • 两种扫描频率:手动和按下扫描

    重要

    新版本的 Amazon ECR 基本扫描不使用 DescribeImages API 响应中的imageScanFindingsSummaryimageScanStatus属性来返回扫描结果。请改用 DescribeImageScanFindings API。有关更多信息,请参阅 DescribeImageScanFindings