Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector - Amazon Inspector
Scanverhalten für ECR Amazon-ScansUnterstützte Betriebssysteme und Medientypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von Amazon Elastic Container Registry-Container-Images mit Amazon Inspector

Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie ECR Amazon-Scanning aktivieren, legen Sie Amazon Inspector als bevorzugten Scan-Service für Ihre private Registrierung fest.

Beim einfachen Scannen können Sie Ihre Repositorys so konfigurieren, dass sie bei Push-Scans scannen oder manuelle Scans durchführen. Mit der erweiterten Suchfunktion können Sie auf der Registrierungsebene nach Sicherheitslücken in Betriebssystemen und Programmiersprachenpaketen suchen. Einen side-by-side Vergleich der Unterschiede zwischen einfachem und erweitertem Scannen finden Sie im Amazon Inspector FAQ.

Anmerkung

Das einfache Scannen wird über Amazon ECR bereitgestellt und in Rechnung gestellt. Weitere Informationen finden Sie unter Amazon Elastic Container Registry — Preise. Erweitertes Scannen wird über Amazon Inspector bereitgestellt und abgerechnet. Weitere Informationen erhalten Sie unter Amazon Inspector: Preise.

Informationen zur Aktivierung von ECR Amazon-Scanning finden Sie unterEinen Scantyp aktivieren. Informationen darüber, wie Sie Ihre Ergebnisse einsehen können, finden Sie unterErgebnisse in Amazon Inspector verwalten. Informationen dazu, wie Sie Ihre Ergebnisse auf Bildebene anzeigen können, finden Sie unter Scannen von Bildern im Amazon Elastic Container Registry User Guide. Sie können Ergebnisse auch verwalten, wenn sie AWS-Services nicht für einfaches Scannen verfügbar sind, wie AWS Security Hub bei Amazon EventBridge.

Dieser Abschnitt enthält Informationen zum ECR Amazon-Scannen und beschreibt, wie Sie das erweiterte Scannen für ECR Amazon-Repositorys konfigurieren.

Scanverhalten für ECR Amazon-Scans

Wenn Sie das ECR Scannen zum ersten Mal aktivieren und Ihr Repository für kontinuierliches Scannen konfiguriert ist, erkennt Amazon Inspector alle geeigneten Bilder, die Sie innerhalb von 30 Tagen übertragen oder innerhalb der letzten 90 Tage abgerufen haben. Dann scannt Amazon Inspector die erkannten Bilder und setzt ihren Scanstatus aufactive. Amazon Inspector überwacht weiterhin Bilder, solange sie innerhalb der letzten 90 Tage (standardmäßig) oder innerhalb der von Ihnen konfigurierten Dauer für den ECR erneuten Scan übertragen oder abgerufen wurden. Weitere Informationen finden Sie unter Konfiguration der Dauer des ECR erneuten Scans durch Amazon.

Für kontinuierliches Scannen initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von Container-Images:

  • Immer wenn ein neues Container-Image übertragen wird.

  • Immer wenn Amazon Inspector seiner Datenbank ein neues Element mit allgemeinen Sicherheitslücken und Exposures (CVE) hinzufügt, das für dieses Container-Image relevant CVE ist (nur kontinuierliches Scannen).

Wenn Sie Ihr Repository für On-Push-Scannen konfigurieren, werden Bilder nur gescannt, wenn Sie sie per Push übertragen.

Sie können im Tab Container-Images auf der Kontoverwaltungsseite überprüfen, wann ein Container-Image zuletzt auf Sicherheitslücken überprüft wurde, oder indem Sie ListCoverageAPI. Amazon Inspector aktualisiert das Feld Zuletzt gescannt am eines ECR Amazon-Bilds als Reaktion auf die folgenden Ereignisse:

  • Wenn Amazon Inspector einen ersten Scan eines Container-Images abschließt.

  • Wenn Amazon Inspector ein Container-Image erneut scannt, weil der Amazon Inspector Inspector-Datenbank ein neues Element mit allgemeinen Sicherheitslücken und Exposures (CVE) hinzugefügt wurde, das sich auf dieses Container-Image auswirkt.

Unterstützte Betriebssysteme und Medientypen

Informationen zu unterstützten Betriebssystemen finden Sie unterUnterstützte Betriebssysteme: ECR Amazon-Scannen mit Amazon Inspector.

Amazon Inspector-Scans von ECR Amazon-Repositorys decken die folgenden unterstützten Medientypen ab:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    Anmerkung

    Scratch-Bilder und "application/vnd.docker.distribution.manifest.list.v2+json" Bilder werden nicht unterstützt.