本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 Image Builder 映像的安全调查发现
<a name="image-security-findings"></a>

当您使用 Amazon Inspector 激活安全扫描时，它会持续扫描您账户中的计算机映像和正在运行的实例，以查找操作系统和编程语言的漏洞。如果激活，则安全扫描将自动进行，Image Builder 可以在您创建新映像时保存测试实例中的调查发现快照。Amazon Inspector 是一项付费服务。

当 Amazon Inspector 发现您的软件或网络设置中存在的漏洞时，它会采取以下措施：
+ 通知您有调查发现。
+ 评估结果的严重性。严重性评级对漏洞进行分类，以帮助您确定调查发现的优先级，并包括以下值：
  + 未分类
  + 信息性
  + 低
  + 中
  + 高
  + 重大
+ 提供有关调查发现的信息，并提供指向其他资源的链接以获取更多详细信息。
+ 提供补救指导，帮助您解决导致调查发现的问题。

## 在中为 Image Builder 图像配置安全扫描 Amazon Web Services 管理控制台
<a name="image-config-security-scans"></a>

如果您已为自己的账户激活了 Amazon Inspector，Amazon Inspector 会自动扫描 Image Builder 启动的 EC2 实例以构建和测试新映像。在构建和测试过程中，这些实例的生命周期很短，它们的调查发现通常会在这些实例关闭后立即过期。为了帮助您调查和修复新映像的调查发现，Image Builder 可以选择将 Amazon Inspector 在构建过程中在测试实例上识别的任何调查发现保存为快照。

**第 1 步：为您的账户激活 Amazon Inspector 安全扫描**  
要从 Image Builder 控制台为您的账户激活 Amazon Inspector 安全扫描，请按照以下步骤操作：

1. 打开 EC2 Image Builder 控制台，网址为[https://console.aws.amazon.com/imagebuilder/](https://console.amazonaws.cn/imagebuilder/)。

1. 从导航窗格中，选择**安全扫描设置**。这将打开**安全扫描**对话框。

   该对话框显示您账户的扫描状态。如果已为您的账户激活 Amazon Inspector，则状态将显示为**已启用**。

1. 按照说明中的步骤 1 和步骤 2 激活 Amazon Inspector 扫描。
**注意**  
Amazon Inspector 会产生费用。有关更多信息，请参阅 [Amazon Inspector 定价](https://www.amazonaws.cn/inspector/pricing/)。

如果您已激活对管道的扫描，Image Builder 会在您创建新映像时为您的构建实例拍摄调查发现的快照。这样，您就可以在 Image Builder 终止构建实例后访问调查发现。

**第 2 步：将管道配置为保存漏洞调查发现的快照**  
要为管道配置漏洞调查发现快照，请执行以下步骤：

1. 打开 EC2 Image Builder 控制台，网址为[https://console.aws.amazon.com/imagebuilder/](https://console.amazonaws.cn/imagebuilder/)。

1. 在导航窗格中，选择**映像管道**。

1. 选择以下方法之一以指定管道详细信息：

**创建新管道**

   1. 在**映像管道**页面中，选择**创建映像管道**。这将在管道向导中打开**指定管道详细信息**页面。

**更新现有管道**

   1. 在**映像管道**页面中，选择要更新的管道的**管道名称**链接。这将打开管道的详细页面。
**注意**  
或者，也可以选中要更新的管道之名称旁的复选框，然后选择**查看详细信息**。

   1. 在管道详细信息页面上，从**操作**菜单中选择**编辑管道**。这会使您转至**编辑管道**页面。

1. 在管道向导的**常规**部分或 **编辑管道**页面中，选中**启用安全扫描**复选框。
**注意**  
如果您想稍后关闭快照，则可以编辑管道以清除该复选框。这不会停用 Amazon Inspector 对您账户的扫描。要停用 Amazon Inspector 扫描，请参阅 *Amazon Inspector 用户指南*中的[t停用 Amazon Inspector](https://docs.amazonaws.cn/inspector/latest/user/deactivating-best-practices.html)。

## 在中管理 Image Builder 图像的安全发现 Amazon Web Services 管理控制台
<a name="image-manage-security-findings"></a>

**安全调查发现**列表页面显示有关您的资源调查发现的高级信息，其视图基于您可以应用的几个不同的筛选条件。每个视图的顶部都包含以下用于更改视图的选项：
+ **所有安全调查发现** – 如果您从 Image Builder 控制台的导航窗格中选择**安全调查发现**页面，则这是默认视图。
+ **按漏洞** — 此视图显示您账户中所有有调查发现的映像资源的高级列表。**调查发现 ID** 链接到有关该调查发现的更多详细信息。此信息显示在页面右侧打开的面板上。面板包含以下信息：
  + 调查发现的详细说明。
  + **调查发现详情**标签页。此标签页包括调查发现概述、受影响的软件包、补救建议摘要、漏洞详细信息和相关漏洞。**漏洞 ID** 链接到国家漏洞数据库中的详细漏洞信息。
  + **分数明细**标签页。此选项卡包含 CVSS 和 Amazon Inspector 分数的side-by-side 比较，以便您可以查看 Amazon Inspector 在哪里修改了分数（如果适用）。
+ **按映像管道** — 此视图显示您账户中每个映像渠道的调查发现数。Image Builder 显示中等严重性和更高程度的调查发现的数量数，以及所有调查发现的总数。列表中的所有数据都已链接，如下所示：
  + **映像管道名称**列链接到指定映像管道的详情页面。
  + 严重性级别列链接打开**所有安全调查发现**视图，该视图按关联的映像管道名称和严重性级别进行筛选。

  您还可以使用搜索条件来优化结果。
+ **按映像** — 此视图显示您账户中每个映像构建的调查发现数。Image Builder 显示中等严重性和更高程度的调查发现的数量数，以及所有调查发现的总数。列表中的所有数据都已链接，如下所示：
  + **映像名称**列链接到指定映像构建的映像详情页面。有关更多信息，请参阅 [查看映像资源详细信息](view-image-details.md)。
  + 严重性级别列链接打开**所有安全调查发现**视图，该视图按关联的映像构建名称和严重性级别进行筛选。

  您还可以使用搜索条件来优化结果。

Image Builder 在默认**所有安全调查发现**视图的**调查发现**列表部分中显示以下详细信息。

**严重性**  
CVE 调查发现的严重性。值如下所示：  
+ 未分类
+ 信息性
+ 低
+ 中
+ 高
+ 重大

**调查发现 ID**  
Amazon Inspector 在扫描构建实例时为您的映像检测到的 CVE 调查发现的唯一标识符。该 ID 链接到**安全调查发现 > 按漏洞**页面。

**映像 ARN**  
在**调查发现 ID** 列中指定了调查发现的映像的 Amazon 资源名称（ARN）。

**管道**  
构建**映像 ARN** 列中指定的映像的管道。

**描述**  
调查发现的简短描述。

**Inspector 分数**  
Amazon Inspector 为 CVE 调查发现分配的分数。

**修复**  
链接到有关修复调查发现的建议行动方针的详细信息。

**发布日期**  
此漏洞首次添加到供应商数据库的日期和时间。