使用 Amazon Inspector 扫描 Amazon ECR 容器映像 - Amazon Inspector
Amazon ECR 扫描的扫描行为支持的操作系统和媒体类型为 Amazon ECR 存储库配置增强扫描ECR 重新扫描持续时间
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Inspector 扫描 Amazon ECR 容器映像

Amazon Inspector 会扫描存储在 Amazon ECR 中的容器映像以查找软件脆弱性,生成程序包脆弱性调查发现。有关针对这些问题得出的调查发现类型的信息,请参阅Amazon Inspector 中的调查发现类型

为 Amazon ECR 激活 Amazon Inspector 扫描后,会将 Amazon Inspector 设置为私有注册表的首选扫描服务。这会将默认的基本扫描(由 Amazon ECR 免费提供)替换为增强扫描(由 Amazon Inspector 提供和计费)。

Amazon Inspector 提供的增强扫描可在注册表级别对操作系统和编程语言包进行脆弱性扫描。您可以在 Amazon ECR 控制台中,查看针对映像每一层,使用增强扫描在映像级别发现的调查发现。此外,您还可以在其他不适用于基本扫描结果的服务(包括和 Amazon)中查看 Amazon Security Hub 和处理这些发现 EventBridge。你可以在 Amazon Inspector 控制台上查看通过扫描发现的结果,网址为 https://console.aws.amazon.com/inspector/v2/home。有关如何处理调查发现的信息,请参阅管理 Amazon Inspector 中的调查发现

有关激活 Amazon ECR 扫描的说明,请参阅激活扫描类型

Amazon ECR 扫描的扫描行为

当您首次激活 ECR 扫描并且您的存储库配置为持续扫描时,Amazon Inspector 会检测到您在 30 天内推送或在过去 90 天内提取的所有符合条件的图像。然后,Amazon Inspector 会扫描检测到的图像并将其扫描状态设置为active。只要图像是在过去 90 天内(默认)或在您配置的 ECR 重新扫描时间内推送或拉取的,Amazon Inspector 就会继续监控这些图像。有关更多信息,请参阅配置 ECR 重新扫描持续时间

为了持续扫描,Amazon Inspector 会在以下情况下启动对容器映像的新漏洞扫描:

  • 每当推送新的容器映像时。

  • 每当 Amazon Inspector 在其数据库中添加新的常见脆弱性和风险 (CVE) 项目,并且 CVE 与该容器映像相关时(仅限持续扫描)。

如果您将存储库配置为推送扫描,则只有在推送图像时才会对其进行扫描。

您可以通过账户管理页面的容器映像选项卡或使用 ListCoverage API 查看上次检查容器映像是否存在漏洞的时间。发生以下事件时,Amazon Inspector 会更新 Amazon ECR 映像的上次扫描时间字段:

  • Amazon Inspector 完成对容器映像的初始扫描时。

  • 由于 Amazon Inspector 数据库中添加了影响该容器映像的新的常见脆弱性和风险 (CVE) 项目,因此 Amazon Inspector 重新扫描容器映像时。

支持的操作系统和媒体类型

有关支持的操作系统的信息,请参阅Amazon ECR 扫描支持的操作系统

Amazon Inspector 对 Amazon ECR 存储库的扫描涵盖以下支持的媒体类型:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注意

    不支持暂存映像和 DockerV2ListMediaType 映像。

为 Amazon ECR 存储库配置增强扫描

激活 Amazon Inspector 对 Amazon ECR 容器映像的扫描时,会更改私有注册表的扫描配置设置。注册表的扫描类型会从基本扫描更改为 Amazon Inspector 提供的增强扫描。有关更多信息,请参阅 Amazon ECR 用户指南中的映像扫描

您可以在 ECR 中管理存储库级别的增强扫描设置。您可以为存储库选择持续扫描或推送时扫描。持续扫描包括推送时扫描和自动重新扫描。推送时扫描仅在最初推送映像时扫描。对于这两个选项,都可以通过包含筛选条件来调整扫描范围。默认情况下,首次激活增强扫描功能时,设置将更改为持续扫描所有存储库。

配置增强扫描设置

  1. 打开 Amazon ECR 控制台:https://console.aws.amazon.com/ecr/

  2. 在页面右上角的 Amazon Web Services 区域 选择器中,选择包含您正在扫描的存储库的区域。

  3. 在导航窗格中,选择私有注册表,然后选择扫描

  4. 扫描类型下,确保增强扫描已选中。如果尚未选中,请选择增强扫描

    默认情况下,持续扫描所有存储库选项处于选中状态,这将为所有存储库开启完整的 Amazon Inspector 扫描覆盖范围。

  5. 取消选择持续扫描所有存储库,可筛选哪些存储库需要持续扫描或在推送时扫描。

有关配置增强扫描的更多信息,请参阅 Amazon ECR 用户指南中的使用增强扫描

配置 ECR 重新扫描持续时间

ECR 重新扫描持续时间设置决定了 Amazon Inspector 持续监控存储库中容器映像的时间长度。您可以为图像推送日期和图像提取日期配置重新扫描持续时间。新帐户(包括添加到组织中的新帐户)的默认扫描持续时间为 90 天。

图片推送日期持续时间

图片推送日期的持续时间决定了 Amazon Inspector 在最新拉取日期之后将图像推送到存储库后持续监控多长时间。以下选项可用作重新扫描持续时间:

  • 14 天

  • 30 天

  • 60 天

  • 90 天(默认)

  • 180 天

  • 生命周期

图片提取日期持续时间

图片提取日期持续时间决定了在最近一次提取日期之后 Amazon Inspector 持续监控图像的时间。以下选项可用作重新扫描持续时间:

  • 14 天

  • 30 天

  • 60 天

  • 90 天(默认)

  • 180 天

只要在配置的推送和拉取日期内推送或拉出图像,Amazon Inspector 就会继续监控和重新扫描图像。如果未在配置的推送和拉取日期内推送或拉取映像,Amazon Inspector 将停止对其进行监控。

注意

当 Amazon Inspector 停止监控图像时,它会将图像扫描状态代码设置为inactive,原因代码设置为expired。然后,它会安排关闭所有相关的图像搜索结果。

将重新扫描持续时间设置为最适合您的环境。例如,如果您经常构建图像,请选择较短的扫描持续时间。同样,如果您长时间使用图像,请选择更长的扫描持续时间。

当您配置委托管理员账户的重新扫描持续时间时,Amazon Inspector 会将该设置应用于组织中的所有成员账户。

配置 ECR 重新扫描持续时间

  1. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 从导航窗格中选择 “常规设置”,然后选择 “ECR 扫描设置”

  3. ECR 扫描设置中,在 ECR 重新扫描持续时间下,选择要设置的图像推送日期持续时间和图像提取日期持续时间。

  4. 选择保存。您的新设置将立即生效。

注意

如果您延长推送日期持续时间,Amazon Inspector 会将更改应用于配置为持续扫描的存储库中所有主动扫描的图像。但是,即使您在新的持续时间内推送了非活动图像,它们仍处于非活动状态。